Allgemeines

F: Was ist AWS Shield?

AWS Shield ist ein verwalteter Service, der Schutz vor DDoS-Angriffen (Distributed Denial of Service) für Webanwendungen bietet, die unter AWS ausgeführt werden. AWS Shield Standard steht allen AWS-Kunden ohne Zusatzkosten automatisch zur Verfügung. AWS Shield Advanced ist ein optionaler kostenpflichtiger Service. AWS Shield Advanced bietet zusätzlichen Schutz vor größeren und anspruchsvolleren Angriffen für Ihre Anwendungen, die unter Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Route 53 ausgeführt werden.

F: Was ist AWS Shield Standard?

AWS Shield Standard bietet Schutz für alle AWS-Kunden vor verbreiteten und am häufigsten vorkommenden Infrastruktur-Angriffen (Ebene 3 und 4), wie SYN/UDP-Floods, Reflexionsangriffen und anderen, um für eine hohe Verfügbarkeit Ihrer Anwendungen unter AWS zu sorgen.

F: Was ist AWS Shield Advanced?

AWS Shield Advanced bietet zusätzlichen Schutz für Ihre Anwendungen, die unter geschützten Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Route 53 ausgeführt werden, vor größeren und ausgefeilteren Angriffen. Der Schutz von AWS Shield Advanced bietet eine durchgehende, datenflussbasierte Überwachung des Netzwerkverkehrs sowie eine aktive Anwendungsüberwachung zur Generierung von Benachrichtigungen über DDoS-Angriffe fast in Echtzeit. AWS Shield Advanced verwendet zudem fortschrittliche Angriffsabwehr- und Routingtechniken zur automatischen Abschwächung von Angriffen. Kunden mit Business- oder Enterprise-Support können auch auf das ständig verfügbare (24X7) DDoS Response Team (DRT) zurückgreifen, um mit den DDoS-Angriffen auf ihre Anwendungsebene umzugehen und diese abzuwehren. Die DDoS-Kostenabsicherung für die Skalierung schützt Ihre AWS-Rechnung vor zu hohen Gebühren aufgrund von Belastungsspitzen durch Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 während eines DDoS-Angriffs.

F: Was ist DDoS-Kostenabsicherung für die Skalierung?

AWS Shield Advanced umfasst eine DDoS-Kostenabsicherung, einen Schutz vor steigenden Kosten als Ergebnis eines DDoS-Angriffs, der Belastungsspitzen bei Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator oder Amazon Route 53 verursacht. Wenn eine der geschützten Ressourcen von AWS Shield Advanced als Reaktion auf einen DDoS-Angriff skaliert wird, können Sie über den herkömmlichen AWS-Supportkanal Gutschriften anfordern.

F: Kann ich AWS Shield zum Schutz von nicht von AWS gehosteten Websites verwenden?

Ja. AWS Shield ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt benutzerdefinierte Ursprünge außerhalb von AWS.

F: Kann ich IPv6 mit allen Funktionen von AWS Shield verwenden?

Ja. Alle Erkennungs- und Abwehrfunktionen von AWS Shield funktionieren mit IPv6 und IPv4 ohne erkennbare Änderungen bei der Leistung, Skalierbarkeit oder Verfügbarkeit des Service.

F: Wie kann ich AWS Shield testen?

In der Richtlinie zur angemessenen Verwendung (Acceptable Use Policy) von AWS werden zulässige und nicht-zulässige Verhaltensweisen in AWS beschrieben. Die Richtlinie enthält außerdem Beschreibungen von untersagten Sicherheitsverletzungen und Netzwerkmissbrauch. Da Penetrationstests und andere simulierte Ereignisse häufig jedoch nicht von solchen Aktivitäten zu unterscheiden sind, haben wir eine Richtlinie eingeführt, damit unsere Kunden die Berechtigung zur Durchführung von Penetrationstests und Prüfungen auf Schwachstellen anfordern können, die die AWS-Umgebung von außen oder innen bedrohen. Besuchen Sie unsere Seite für Penetrationstests, um Berechtigungen anzufordern.

F: In welchen AWS-Regionen ist AWS Shield Standard verfügbar?

AWS Shield Standard ist für alle AWS-Dienstleistungen weltweit in jeder AWS-Region und an allen Edge-Standorten von AWS verfügbar.

Weitere Informationen über die Verfügbarkeit von AWS Shield Standard nach Regionen finden Sie unter Regionale Produkte und Dienstleistungen.

F: In welchen AWS-Regionen ist AWS Shield Advanced verfügbar?

AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon S3, Amazon EC2, Elastic Load Balancing oder einen benutzerdefinierten Server außerhalb von AWS handeln. Zusätzlich können Sie AWS Shield Advanced in den folgenden AWS-Regionen direkt in Elastic Load Balancing oder Amazon EC2 aktivieren: Nord-Virginia, Ohio, Oregon, Nordkalifornien, Montreal, São Paulo, Irland, Frankfurt, London, Paris, Stockholm, Singapur, Tokio, Sydney, Seoul und Mumbai.

Weitere aktuelle Informationen über die Verfügbarkeit von AWS Shield Advanced nach Regionen finden Sie unter Regionale Produkte und Dienstleistungen.

F: Ist AWS Shield HIPAA-fähig?

Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS Shield als HIPAA-fähigen Service ausgeweitet. Wenn Sie ein aktives Business Associate Agreement (BAA) mit AWS haben, können Sie AWS Shield zum Schutz Ihrer Webanwendungen, die auf AWS ausgeführt werden, vor Distributed Denial of Service (DDoS)-Angriffen verwenden. Weitere Informationen finden Sie unter HIPAA Compliance.

Konfigurieren von Schutzmaßnahmen

F: Welche Arten von Angriffen kann ich mithilfe von AWS Shield stoppen?

AWS Shield schützt Ihre Website vor allen Arten von DDoS-Angriffen einschließlich Angriffen auf die Infrastruktur-Ebene (zum Beispiel UDP-Floods), State Exhaustion-Angriffe (wie TCP SYN Floods) sowie Angriffe auf die Anwendungsebene (wie HTTP GET oder POST Floods). Beispiele finden Sie im AWS WAF and AWS Shield Advanced Developer Guide.

F: Vor welchen Angriffsarten kann mich AWS Shield Standard schützen?

AWS Shield Standard bietet automatischen Schutz für Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden Angriffen auf die Infrastruktur-Ebene, wie UDP-Floods und State Exhaustion-Angriffen, wie TCP SYN Floods. Die Kunden können AWS WAF auch verwenden, um sich vor Angriffen auf die Anwendungsebene, wie HTTP POST oder GET Floods, zu schützen. Weitere Einzelheiten zur Implementierung Schutzeinrichtungen für die Anwendungsebenen finden Sie im AWS WAF und AWS Shield Advanced Developer Guide.

F: Wie viele Ressourcen kann ich für den AWS Shield Standard-Schutz aktivieren?

Es gibt keine Beschränkung der Anzahl von Ressourcen, die mit AWS Shield Standard geschützt werden können. Sie können alle Vorteile des AWS Shield Standard-Schutzes nutzen, indem Sie dieBest Practices für DDoS-Resilienz unter AWS umsetzen.

F: Wie viele Ressourcen kann ich für den AWS Shield Advanced-Schutz aktivieren?

Sie können bis zu 1000 AWS-Ressourcen jedes unterstützten Ressourcentyps (Classic / Application Load Balancers, Amazon CloudFront-Distributionen, Amazon Route 53-Hostingzonen, Elastic IPs, AWS Global Accelerator-Beschleuniger) für den Schutz durch AWS Shield Advanced aktivieren. Wenn Sie mehr als 1000 Ressourcen aktivieren möchten, können Sie eine Anhebung des Limits beantragen, indem Sie eine AWS-Support-Anfrage erstellen.

F: Kann ich den AWS Shield Advanced-Schutz über API aktivieren?

Ja. AWS Shield Advanced kann über APIs aktiviert werden. Sie können AWS-Ressourcen auch über APIs zum AWS Shield Advanced-Schutz hinzufügen oder daraus entfernen.

F: Wie schnell werden Angriffe abgewehrt?

Normalerweise werden 99 % der Angriffe auf die Infrastruktur-Ebene, die von AWS Shield erkannt werden, bei Angriffen auf Amazon CloudFront und Amazon Route 53 in weniger als 1 Sekunde, und bei Angriffen auf Elastic Load Balancing in weniger als 5 Minuten abgewehrt. Das verbleibende 1 % der Infrastruktur-Angriffe wird normalerweise in weniger als 20 Minuten abgewehrt. Angriffe auf die Anwendungsebene werden durch Schreiben von Regeln in AWS WAF abgewehrt. Diese Regeln werden dann untersucht und in Einklang mit dem eingehenden Datenverkehr entschärft.

F: Kann ich Ressourcen außerhalb von AWS schützen?

Ja. Eine große Anzahl unserer Kunden hat sich entschieden, AWS-Endpunkte vor ihre Backend-Instances zu setzen. In der Regel handelt es sich bei diesen Endpunkten um unsere weltweit verteilten Services CloudFront und Route 53. Diese Services sind auch unsere Empfehlungen für bewährte Methoden für DDoS-Ausfallsicherheit. Kunden können in der Folge diese CloudFront-Distributionen und auf Route 53 gehosteten Zonen mit Shield Advanced schützen. Beachten Sie, dass Sie Ihre Backend-Ressourcen so konfigurieren bzw. beschränken müssen, dass ausschließlich Datenverkehr von diesen AWS-Endpunkten akzeptiert wird.

Reaktion auf Angriffe

F: Welche Werkzeuge bietet mir AWS Shield Standard zum Abwehren von DDoS-Angriffen?

AWS Shield Standard schützt automatisch Ihre Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden DDoS-Angriffen. Sie können in den Genuss aller Vorteile von AWS Shield Standard gelangen, indem Sie die Best Practices für DDoS-Resilienz unter AWS umsetzen.

F: Welche Werkzeuge bietet mir AWS Shield Advanced zur Abwehr von DDoS-Angriffen?

AWS Shield Advanced verwaltet die Abwehr bei DDoS-Angriffen auf Ebene 3 und Ebene 4. Das bedeutet, dass Ihre designierten Anwendungen vor Angriffen wie UDP-Floods oder TCP SYN Floods geschützt sind. Darüber hinaus kann AWS Shield Advanced für Angriffe auf die Anwendungsschicht (Layer 7) Angriffe wie HTTP-Floods und DNS-Floods erkennen. Zudem können Sie, wenn Sie über Business- oder Enterprise-Support verfügen, AWS WAF verwenden, um Ihre eigene Abwehr anzuwenden, oder Sie können auf das 24X7 AWS DDoS Response Team (DRT) zurückgreifen, das in Ihrem Namen Regeln schreiben kann, um DDoS-Angriffe auf Ebene 7 abzuwehren.

F: Benötige ich einen speziellen Support-Plan, um das AWS DDoS Response Team zu kontaktieren?

Ja, Sie benötigen einen Business- oder Enterprise-Support-Plan, um das AWS DDoS Response Team (DRT) zu kontaktieren. Weitere Informationen zu AWS-Support-Plänen finden Sie auf der AWS-Support-Website.

F: Wie kann ich das AWS DDoS Response Team kontaktieren?

Sie können auf das AWS DDoS Response Team (DRT) über den herkömmlichen AWS-Support zurückgreifen oder Sie wenden sich an den AWS Support.

F: Wie schnell kann ich auf das AWS DDoS Response Team (DRT) zurückgreifen?

Die Reaktionszeit für DRT hängt von dem AWS-Supportplan ab, den Sie abonniert haben. Wir ergreifen alle angemessenen Maßnahmen, um Ihre erste Anfrage innerhalb der entsprechenden Fristen zu bearbeiten. Weitere Informationen zu AWS-Supportplänen finden Sie auf der AWS-Support-Website.

Sichtbarkeit und Berichterstellung

F: Erhalte ich bei Angriffen eine Benachrichtigung von AWS Shield?

Ja. Mit AWS Shield Advanced werden Sie mittels CloudWatch-Metriken über DDoS-Angriffe benachrichtigt.

F: Wie schnell erhalte ich eine Benachrichtigung über einen Angriff?

Normalerweise generiert AWS Shield Advanced innerhalb weniger Minuten nach der Erkennung des Angriffs eine Benachrichtigung.

F: Kann ich den Verlauf aller DDoS-Angriffe auf meine AWS-Ressourcen anzeigen lassen?

Ja. Mit AWS Shield Advanced können Sie den Verlauf aller Vorfälle der letzten 13 Monate sehen.

F: Kann ich Angriffe über AWS hinweg sehen?

Ja, AWS Shield Advanced-Kunden erhalten Zugriff auf das Global Threat Environment Dashboard, das eine anonymisierte und stichprobenartige Ansicht aller DDoS-Angriffe auf AWS innerhalb der letzten 2 Wochen bietet.

F: Wie kann ich feststellen, ob meine AWS WAF-Regeln funktionieren?

Mit AWS WAF gibt es zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall und in der AWS WAF-API und der Management-Konsole sind Stichproben von Webanforderungen verfügbar. Zusätzlich können Sie umfassende Protokolle aktivieren, die über Amazon Kinesis Firehose an ein Ziel Ihrer Wahl geliefert werden. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese Webanforderung aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im AWS WAF and AWS Shield Advanced Developer Guide.

F: Ich muss einen Penetrationstest durchführen, um den Service und meine Anwendung zu prüfen. Welches Verfahren wird empfohlen?

Weitere Informationen finden Sie unter Penetrationstests auf AWS. Dies umfasst jedoch nicht den DDoS-Ladetest. Dieser Test ist auf AWS nicht zulässig. Wenn Sie einen Live-DDoS-Test durchführen möchten, können Sie eine Genehmigung anfordern, indem Sie ein entsprechendes Ticket beim AWS Support eröffnen. Die Genehmigung für einen solchen Test setzt die Zustimmung zu den Bedingungen des Tests durch AWS, den Kunden und den Anbieter für den DDoS-Test voraus. Beachten Sie, dass wir nur mit genehmigten Anbietern für DDoS-Tests zusammenarbeiten und der gesamte Prozess drei bis vier Wochen dauern kann.

 

Abrechnung

F: Wie zahle ich für AWS Shield Standard?

AWS Shield Standard ist in die AWS-Dienstleistungen integriert, die Sie bereits für Ihre Webanwendungen nutzen. Es fallen keine zusätzlichen Kosten für AWS Shield Standard an.

F: Wie zahle ich für AWS Shield Advanced?

Mit AWS Shield Advanced zahlen Sie eine monatliche Gebühr von $ 3.000 pro Unternehmen. Zusätzlich zahlen Sie auch eine Nutzungsgebühr für die Datenübertragung der für den erweiterten Schutz aktivierten AWS-Ressourcen über AWS Shield Advanced. Die Gebühren für AWS Shield Advanced fallen zusätzlich zu den Standardgebühren für Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 an. Einzelheiten finden Sie auf der Preisübersicht zu AWS Shield.

F: Kann ich wahlweise auch nur einen Teil meiner Ressourcen mit AWS Shield Advanced schützen?

Ja, AWS Shield Advanced bietet Ihnen die Flexibilität, die Ressourcen auszuwählen, die Sie schützen möchten. Ihnen wird nur die Datenübertragung mit AWS Shield Advanced für diese geschützten Ressourcen in Rechnung gestellt.

F: Wie kann ich AWS Shield Advanced für mehrere AWS-Konten aktivieren?

Wenn Ihr Unternehmen über mehrere AWS-Konten verfügt, können Sie mehrere AWS-Konten für AWS Shield Advanced abonnieren, indem Sie diese über die AWS-Managementkonsole oder API für jedes Konto einzeln aktivieren. Sie zahlen die monatliche Gebühr nur einmal, so lange die AWS-Konten gemeinsam abgerechnet werden und Sie alle AWS-Konten und -Ressourcen in diesen Konten besitzen.

Weitere Informationen zur Preisgestaltung von AWS Shield

Preisübersicht
Bereit zum Entwickeln?
Erste Schritte mit AWS Shield
Haben Sie noch Fragen?
Kontakt