Allgemeines

F: Was ist AWS Shield?

AWS Shield ist ein verwalteter Service, der Schutz vor DDoS-Angriffen für Webanwendungen bietet, die unter AWS ausgeführt werden. AWS Shield Standard steht allen AWS-Kunden ohne Zusatzkosten zur Verfügung. AWS Shield Advanced ist ein optionaler bezahlter Service, der allen Kunden von AWS Business Support und AWS Enterprise Support zur Verfügung steht. AWS Shield Advanced bietet zusätzlichen Schutz vor größeren und anspruchsvolleren Angriffen für Ihre Anwendungen, die unter Elastic Load Balancing (ELB), Amazon CloudFront und Route 53 ausgeführt werden.

F: Was ist AWS Shield Standard?

AWS Shield Standard bietet Schutz für alle AWS-Kunden vor verbreiteten und am häufigsten vorkommenden Infrastruktur-Angriffen (Ebene 3 und 4), wie SYN/UDP-Floods, Reflexionsangriffen und anderen, um für eine hohe Verfügbarkeit Ihrer Anwendungen unter AWS zu sorgen.

F: Was ist AWS Shield Advanced?

AWS Shield Advanced bietet zusätzlichen Schutz für Ihre Anwendungen, die unter Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront und Route 53 ausgeführt werden, vor größeren und ausgefeilteren Angriffen. AWS Shield Advanced steht allen Kunden von AWS Business Support und AWS Enterprise Support zur Verfügung. Der Schutz von AWS Shield Advanced bietet eine durchgehende, datenflussbasierte Überwachung des Netzwerkverkehrs sowie eine aktive Anwendungsüberwachung zur Generierung von Benachrichtigungen über DDoS-Angriffe fast in Echtzeit. AWS Shield Advanced bietet Kunden zusätzlich eine extrem flexible Kontrolle der Angriffsabwehr, um sofort Maßnahmen zu ergreifen. Die Kunden können auch auf das ständig verfügbare (24X7) DDoS Response Team (DRT) zurückgreifen, um mit den DDoS-Angriffen auf ihre Anwendungsebene umzugehen und diese abzuwehren. Die DDoS-Funktion von AWS Shield Advanced zur Kostenabsicherung schützt Ihre AWS-Rechnung vor zu hohen Gebühren aufgrund von Belastungsspitzen durch Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 während eines DDoS-Angriffs.

F: Was ist DDoS-Kostenabsicherung?

AWS Shield Advanced umfasst eine DDoS-Kostenabsicherung, einen Schutz vor steigenden Kosten als Ergebnis eines DDoS-Angriffs, der Belastungsspitzen bei Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront oder Amazon Route 53 verursacht. Wenn die Auslastung einer dieser Dienstleistungen als Reaktion auf einen DDoS-Angriff ansteigt, können Sie über den herkömmlichen AWS-Supportkanal Gutschriften anfordern.

F: Kann ich AWS Shield zum Schutz von nicht von AWS gehosteten Websites verwenden?

Ja. AWS Shield ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt benutzerdefinierte Ursprünge außerhalb von AWS.

F: Kann ich IPv6 mit allen Funktionen von AWS Shield verwenden?

Ja. Alle Erkennungs- und Abwehrfunktionen von AWS Shield funktionieren mit IPv6 und IPv4 ohne erkennbare Änderungen bei der Leistung, Skalierbarkeit oder Verfügbarkeit des Service.

F: Gibt es Voraussetzungen für die Aktivierung von AWS Shield Advanced?

Ja. Das AWS-Konto, das Sie für AWS Shield Advanced abonnieren möchten, muss über AWS Business Support oder AWS Enterprise Support verfügen. Siehe die AWS-Supportwebsite, um weitere Einzelheiten zu Support-Plänen zu erhalten.

F: Wie kann ich AWS Shield testen?

In der Richtlinie zur angemessenen Verwendung (Acceptable Use Policy) von AWS werden zulässige und nicht-zulässige Verhaltensweisen in AWS beschrieben. Die Richtlinie enthält außerdem Beschreibungen von untersagten Sicherheitsverletzungen und Netzwerkmissbrauch. Da Penetrationstests und andere simulierte Ereignisse häufig jedoch nicht von solchen Aktivitäten zu unterscheiden sind, haben wir eine Richtlinie eingeführt, damit unsere Kunden die Berechtigung zur Durchführung von Penetrationstests und Prüfungen auf Schwachstellen anfordern können, die die AWS-Umgebung von außen oder innen bedrohen. Besuchen Sie unsere Seite für Penetrationstests, um Berechtigungen anzufordern.

F: In welchen AWS-Regionen ist AWS Shield Standard verfügbar?

AWS Shield Standard ist für alle AWS-Dienstleistungen weltweit in jeder AWS-Region und an allen Edge-Standorten von AWS verfügbar.

Weitere Informationen über die Verfügbarkeit von AWS Shield Standard nach Regionen finden Sie unter Regionale Produkte und Dienstleistungen.

F: In welchen AWS-Regionen ist AWS Shield Advanced verfügbar?

AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront und Amazon Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon S3, Amazon EC2, Elastic Load Balancing oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können AWS Shield Advanced auch direkt in Elastic Load Balancing in den folgenden AWS-Regionen aktivieren: Nord-Virginia, Nordkalifornien, Ohio, Oregon, Irland, Tokio, Sydney und Frankfurt.

Weitere Informationen über die Verfügbarkeit von AWS Shield Advanced nach Regionen finden Sie unter Regionale Produkte und Dienstleistungen.

F: Ist AWS Shield HIPAA-fähig?

Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS Shield als HIPAA-fähigen Service ausgeweitet. Wenn Sie ein aktives Business Associate Agreement (BAA) mit AWS haben, können Sie AWS Shield zum Schutz Ihrer Webanwendungen, die auf AWS ausgeführt werden, vor Distributed Denial of Service (DDoS)-Angriffen verwenden. Weitere Informationen finden Sie unter HIPAA Compliance.

Konfigurieren von Schutzmaßnahmen

F: Welche Arten von Angriffen kann ich mithilfe von AWS Shield stoppen?

AWS Shield schützt Ihre Website vor allen Arten von DDoS-Angriffen einschließlich Angriffen auf die Infrastruktur-Ebene (zum Beispiel UDP-Floods), State Exhaustion-Angriffe (wie TCP SYN Floods) sowie Angriffe auf die Anwendungsebene (wie HTTP GET oder POST Floods). Beispiele finden Sie im AWS WAF and AWS Shield Advanced Developer Guide.

F: Vor welchen Angriffsarten kann mich AWS Shield Standard schützen?

AWS Shield Standard bietet automatischen Schutz für Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden Angriffen auf die Infrastruktur-Ebene, wie UDP-Floods und State Exhaustion-Angriffen, wie TCP SYN Floods. Die Kunden können AWS WAF auch verwenden, um sich vor Angriffen auf die Anwendungsebene, wie HTTP POST oder GET Floods, zu schützen. Weitere Einzelheiten zur Implementierung Schutzeinrichtungen für die Anwendungsebenen finden Sie im AWS WAF und AWS Shield Advanced Developer Guide.

F: Wie viele Ressourcen kann ich für den AWS Shield Standard-Schutz aktivieren?

Es gibt keine Beschränkung der Anzahl von Ressourcen, die mit AWS Shield Standard geschützt werden können. Sie können alle Vorteile des AWS Shield Standard-Schutzes nutzen, indem Sie dieBest Practices für DDoS-Resilienz unter AWS umsetzen.

F: Wie viele Ressourcen kann ich für den AWS Shield Advanced-Schutz aktivieren?

Sie können bis zu 100 AWS-Ressourcen (z. B. Load Balancer, Amazon CloudFront-Verteilungen, Amazon Route 53-Delegationssets) für den Schutz durch AWS Shield Advanced aktivieren. Wenn Sie mehr als 100 Ressourcen aktivieren möchten, können Sie eine Anhebung des Limits beantragen, indem Sie eine AWS-Support-Anfrage erstellen.

F: Kann ich den AWS Shield Advanced-Schutz über API aktivieren?

Ja. AWS Shield Advanced kann über APIs aktiviert werden. Sie können AWS-Ressourcen auch über APIs zum AWS Shield Advanced-Schutz hinzufügen oder daraus entfernen.

F: Wie schnell werden Angriffe abgewehrt?

Normalerweise werden 99 % der Angriffe auf die Infrastruktur-Ebene, die von AWS Shield erkannt werden, bei Angriffen auf Amazon CloudFront und Amazon Route 53 in weniger als 1 Sekunde, und bei Angriffen auf Elastic Load Balancing in weniger als 5 Minuten abgewehrt. Das verbleibende 1 % der Infrastruktur-Angriffe wird normalerweise in weniger als 20 Minuten abgewehrt. Angriffe auf die Anwendungsebene werden durch Schreiben von Regeln in AWS WAF abgewehrt. Diese Regeln werden dann untersucht und in Einklang mit dem eingehenden Datenverkehr entschärft.

Reaktion auf Angriffe

F: Welche Werkzeuge bietet mir AWS Shield Standard zum Abwehren von DDoS-Angriffen?

AWS Shield Standard schützt automatisch Ihre Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden DDoS-Angriffen. Sie können in den Genuss aller Vorteile von AWS Shield Standard gelangen, indem Sie die Best Practices für DDoS-Resilienz unter AWS umsetzen.

F: Welche Werkzeuge bietet mir AWS Shield Advanced zur Abwehr von DDoS-Angriffen?

AWS Shield Advanced verwaltet die Abwehr bei DDoS-Angriffen auf Ebene 3 und Ebene 4. Das bedeutet, dass Ihre designierten Webanwendungen vor Angriffen wie UDP-Floods oder TCP SYN Floods geschützt sind. Zusätzlich können Sie bei Angriffen auf die Anwendungsebene (Ebene 7) AWS WAF verwenden, um Ihre eigene Abwehr anzuwenden, oder Sie können auf das 24X7 AWS DDoS Response Team (DRT) zurückgreifen, das in Ihrem Namen Regeln schreiben kann, um DDoS-Angriffe auf Ebene 7 abzuwehren.

F: Wie kann ich das AWS DDoS Response Team kontaktieren?

Sie können auf das AWS DDoS Response Team (DRT) über den herkömmlichen AWS-Support zurückgreifen oder Sie wenden sich an den AWS Support.

F: Wie schnell kann ich auf das AWS DDoS Response Team (DRT) zurückgreifen?

Die Reaktionszeit für DRT hängt von dem AWS-Supportplan ab, den Sie abonniert haben. Wir ergreifen alle angemessenen Maßnahmen, um Ihre erste Anfrage innerhalb der entsprechenden Fristen zu bearbeiten. Weitere Informationen zu AWS-Supportplänen finden Sie auf der AWS-Support-Website.

Sichtbarkeit und Berichterstellung

F: Erhalte ich bei Angriffen eine Benachrichtigung von AWS Shield?

Ja. Mit AWS Shield Advanced werden Sie mittels CloudWatch-Metriken über DDoS-Angriffe benachrichtigt.

F: Wie schnell erhalte ich eine Benachrichtigung über einen Angriff?

Normalerweise generiert AWS Shield Advanced innerhalb weniger Minuten nach der Erkennung des Angriffs eine Benachrichtigung.

F: Kann ich den Verlauf aller DDoS-Angriffe auf meine AWS-Ressourcen anzeigen lassen?

Ja. Mit AWS Shield Advanced können Sie den Verlauf aller Vorfälle der letzten 13 Monate sehen.

F: Wie kann ich feststellen, ob meine AWS WAF-Regeln funktionieren?

Mit AWS WAF gibt es zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall und in der AWS WAF-API und der Management-Konsole sind Stichproben von Webanforderungen verfügbar. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese Webanforderung aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im AWS WAF and AWS Shield Advanced Developer Guide.

Fakturierung

F: Wie zahle ich für AWS Shield Standard?

AWS Shield Standard ist in die AWS-Dienstleistungen integriert, die Sie bereits für Ihre Webanwendungen nutzen. Es fallen keine zusätzlichen Kosten für AWS Shield Standard an.

F: Wie zahle ich für AWS Shield Advanced?

Mit AWS Shield Advanced zahlen Sie eine monatliche Gebühr von $ 3.000 pro Unternehmen. Zusätzlich zahlen Sie auch eine Nutzungsgebühr für die Datenübertragung der AWS-Ressourcen, die für den erweiterten Schutz aktiviert sind. Die Gebühren für AWS Shield Advanced fallen zusätzlich zu den Standardgebühren für Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 an. Einzelheiten finden Sie auf der Preisübersicht zu AWS Shield.

F: Wie kann ich AWS Shield Advanced für mehrere AWS-Konten aktivieren?

Wenn Ihre Organisation über mehrere AWS-Konten verfügt, können Sie AWS Shield Advanced mit mehreren AWS-Konten abonnieren. Sie zahlen die monatliche Gebühr nur einmal, so lange die AWS-Konten gemeinsam abgerechnet werden und Sie alle AWS-Konten und -Ressourcen in diesen Konten besitzen.

Weitere Informationen zur Preisgestaltung von AWS Shield

Preisübersicht
Bereit zum Entwickeln?
Erste Schritte mit AWS Shield
Haben Sie noch Fragen?
Kontakt