Kostenlos bei AWS einsteigen

Kostenloses Konto erstellen

12 Monate lang Zugriff auf das kostenlose Kontingent von AWS sowie AWS Support-Funktionen der Stufe "Basic" mit Kundenservice rund um die Uhr, Support-Foren und vielen weiteren Vorteilen.

F: Was ist AWS Shield?

AWS Shield ist ein verwalteter Service, der Schutz vor DDoS-Angriffen für Webanwendungen bietet, die unter AWS ausgeführt werden. Der AWS Shield Standard steht allen AWS Kunden ohne Zusatzkosten zur Verfügung. AWS Shield Advanced ist ein optionaler bezahlter Service, der allen Kunden von AWS Business Support und AWS Enterprise Support zur Verfügung steht. AWS Shield Advanced bietet zusätzlichen Schutz vor größeren und anspruchsvolleren Angriffen für Ihre Anwendungen, die unter Elastic Load Balancing (ELB), Amazon CloudFront und Route 53 ausgeführt werden.

F: Was ist AWS Shield Standard?

AWS Shield Standard bietet Schutz für alle AWS Kunden vor verbreiteten und am häufigsten vorkommenden Infrastruktur-Angriffe (Ebene 3 und 4) wie SYN/UDP Floods, Reflection-Angriffe und andere, um die hohe Verfügbarkeit Ihrer Anwendungen unter AWS zu unterstützen.

F: Was ist AWS Shield Advanced?

AWS Shield Advanced bietet zusätzlichen Schutz für Ihre Anwendungen, die unter Elastic Load Balancing (ELB), Amazon CloudFront und Route 53 ausgeführt werden, vor größeren und ausgefeilteren Angriffen. AWS Shield Advanced steht allen Kunden von AWS Business Support und AWS Enterprise Support zur Verfügung. Der Schutz von AWS Shield Advanced bietet eine durchgehende, durchflussbasierte Überwachung des Netzwerkverkehrs sowie eine aktive Anwendungsüberwachung zur Bereitstellung von Benachrichtigungen über DDoS-Angriffe fast in Echtzeit. AWS Shield Advanced bietet Kunden zusätzlich eine extrem flexible Kontrolle über Angriffsmitigationen, um sofort Maßnahmen zu ergreifen. Die Kunden können auch das ständig verfügbare (24X7) DDoS Response Team (DRT) benachrichtigen, um mit den DDoS-Angriffen auf ihre Anwendungsebene umzugehen und diese zu mitigieren. Die DDoS-Funktion von AWS Shield Advanced zur Kostenabsicherung sorgt dafür, dass auf Ihrer AWS-Rechnung zu hohe Gebühren aufgrund von Belastungsspitzen durch Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 während eines DDoS-Angriffs unterbunden werden.

F: Was ist DDoS-Kostenabsicherung?

AWS Shield Advanced umfasst eine DDoS-Kostenabsicherung, eine Schutzmaßnahme vor ansteigenden Kosten als Ergebnis eines DDoS-Angriffs, der Belastungsspitzen bei Elastic Load Balancing (ELB), Amazon CloudFront oder Amazon Route 53 verursacht. Wenn die Auslastung einer dieser Services als Reaktion auf einen DDoS-Angriff ansteigt, können Sie über den herkömmlichen AWS-Supportkanal Kostenvorteile anfordern.

F: Kann ich AWS Shield für den Schutz von nicht von AWS gehosteten Websites verwenden?

Ja. AWS Shield ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt auch benutzerdefinierte Ursprünge außerhalb von AWS.

F: Kann ich IPv6 für alle Funktionen von AWS Shield verwenden?

Ja. Alle Erkennungs- und Mitigationsfunktionen von AWS Shield funktionieren mit IPv6 und IPv4 ohne erkennbare Änderungen bei der Leistung, Skalierbarkeit oder Verfügbarkeit des Service.

F: Gibt es Voraussetzungen für die Aktivierung von AWS Shield Advanced?

Ja. Das AWS-Konto, das Sie für AWS Shield Advanced abonnieren möchten, muss über AWS Business Support oder AWS Enterprise Support verfügen. Siehe die AWS-Supportwebsite, um weitere Einzelheiten zu Support-Plänen zu erhalten.

F: Wie kann ich AWS Shield testen?

In der Richtlinie zur angemessenen Verwendung (Acceptable Use Policy) werden zulässige und nicht zulässige Verhaltensweisen in AWS beschrieben. Die Richtlinie enthält außerdem Beschreibungen von untersagten Sicherheitsverletzungen und Netzwerkmissbrauch. Da Penetrationstests und andere simulierte Ereignisse häufig jedoch nicht von solchen Aktivitäten zu unterscheiden sind, haben wir eine Richtlinie eingeführt, damit unsere Kunden die Autorisierung zur Durchführung von Penetrationstests und Prüfungen auf Schwachstellen anfordern können, die die AWS-Umgebung von außen oder innen bedrohen. Besuchen Sie unsere Seite für Penetrationstests, um Berechtigungen anzufordern.

F: In welchen AWS-Regionen ist AWS Shield Standard verfügbar?  

AWS Shield Standard ist für alle AWS-Services weltweit in allen AWS-Region und an allen AWS-Edge-Standorten verfügbar.

Weitere Informationen über die Verfügbarkeit von AWS Shield Standard nach Regionen finden Sie unter Regionale Produkte und Services.

F: In welchen AWS-Regionen ist AWS Shield Advanced verfügbar?

AWS Shield Advanced ist weltweit an allen Amazon CloudFront- und Amazon Route 53-Edge-Standorten verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon S3-, Amazon EC2-, Elastic Load Balancing- oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können AWS Shield Advanced auch direkt in Elastic Load Balancing in den folgenden AWS-Regionen aktivieren: Nord-Virginia, Nord-Kalifornien, Oregon, Irland und Tokio.

Weitere Informationen über die Verfügbarkeit von AWS Shield Advanced nach Regionen finden Sie unter Regionale Produkte und Services.

F: Ist AWS Shield HIPAA-fähig?

Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS Shield als HIPAA-fähigen Service ausgeweitet. Wenn Sie ein aktives Business Associate Agreement (BAA) mit AWS haben, können Sie AWS Shield zum Schützen Ihrer Webanwendungen, die auf AWS ausgeführt werden, vor Distributed Denial of Service (DDoS)-Angriffen verwenden. Weitere Informationen finden Sie unter HIPAA-Compliance.


F: Welche Arten von Angriffen kann ich mithilfe von AWS Shield stoppen?

AWS Shield schützt Ihre Website vor allen Arten von DDoS-Angriffen einschließlich Angriffen auf die Infrastruktur-Ebene (zum Beispiel UDP-Floods), State Exhaustion-Angriffe (wie TCP SYN Floods) sowie Angriffe auf die Anwendungsebene (wie HTTP GET oder POST Floods). Beispiele finden Sie im AWS WAF and AWS Shield Advanced Developer Guide.

F: Vor welchen Angriffen kann AWS Standard Shield mich schützen?

AWS Shield Standard bietet automatischen Schutz für Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden Angriffen auf die Infrastruktur-Ebene wie UDP Floods und State Exhaustion-Angriffe wie TCP SYN Floods. Die Kunden können AWS WAF auch verwenden, um sich vor Angriffen auf die Anwendungsebene wie HTTP POST oder GET Floods zu schützen. Weitere Einzelheiten zum Schutz von Anwendungsebenen finden Sie im AWS WAF and AWS Shield Advanced Developer Guide.

F: Wie viele Ressourcen kann ich für den AWS Shield Standard-Schutz aktivieren?

Es gibt keine Beschränkung der Anzahl von Ressourcen, die mit AWS Shield Standard geschützt werden können. Sie erhalten die vollen Vorteile des AWS Shield Standard-Schutzes, indem Sie den bewährten Methoden für DDoS-Widerstandsfähigkeit unter AWS folgen.

F: Wie viele Ressourcen kann ich für den AWS Shield Advanced-Schutz aktivieren?

Sie können bis zu 100 AWS-Ressourcen (z. B., Load Balancers, Amazon CloudFront-Verteilungen, Amazon Route 53-Delegationssätze) für den Schutz durch AWS Shield Advanced aktivieren. Wenn Sie mehr als 100 Ressourcen aktivieren möchten, können Sie eine Anhebung des Limits beantragen, indem Sie einen AWS-Support-Fall erstellen.

F: Kann ich den AWS Shield Advanced-Schutz über API aktivieren?

Ja. AWS Shield Advanced kann über APIs aktiviert werden. Sie können AWS-Ressourcen auch über APIs zum AWS Shield Advanced-Schutz hinzufügen oder daraus entfernen.

F: Wie schnell werden Angriffe mitigiert?

Normalerweise werden 99 % der Angriffe auf die Infrastruktur-Ebene, die von AWS Shield erkannt werden, bei Angriffen auf Amazon CloudFront und Amazon Route 53 in weniger als 1 Sekunde, und bei Angriffen auf Elastic Load Balancing in weniger als 5 Minuten mitigiert. Das verbleibende 1 % der Infrastruktur-Angriffe wird normalerweise in weniger als 20 Minuten mitigiert. Angriffe auf die Anwendungsebene werden durch Schreiben von Regeln in AWS WAF mitigiert. Diese Regeln werden dann untersucht und im Zuge eingehenden Datenverkehrs mitigiert.


F: Welche Tools bietet AWS Shield Standard mir zum Mitigieren von DDoS-Angriffen?

AWS Shield Standard schützt Ihre Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten und häufig auftretenden DDoS-Angriffen. Sie erhalten die vollen Vorteile von AWS Shield Standard, indem Sie den bewährten Methoden für DDoS-Widerstandsfähigkeit unter AWS folgen.

F: Welche Tools bietet AWS Shield Advanced mir zur Mitigation von DDoS-Angriffen?

AWS Shield Advanced verwaltet die Mitigation bei DDoS-Angriffen auf Ebene 3 und Ebene 4. Das bedeutet, dass Ihre designierten Webanwendungen vor Angriffen wie UDP Floods oder TCP SYN Floods geschützt sind. Zusätzlich können Sie bei Angriffen auf die Anwendungs-Ebene (Ebene 7) AWS WAF verwenden, um Ihre eigenen Mitigationen anzuwenden, oder Sie können das 24X7 AWS DDoS Response Team (DRT) aktivieren, das in Ihrem Namen Regeln schreiben kann, um DDoS-Angriffe auf Ebene 7 zu mitigieren.

F: Wie kann ich das AWS DDoS Response Team kontaktieren?

Sie können das AWS DDoS Response Team (DRT) über den herkömmlichen AWS Support aktivieren, oder Sie wenden sich an den AWS Support.

F: Wie schnell kann ich das AWS DDoS Response Team (DRT) kontaktieren?

Die Antwortzeiten für DRT hängen von dem AWS-Support-Plan ab, den Sie abonniert haben. Wir ergreifen alle angemessenen Maßnahmen, um Ihre ursprüngliche Anfrage innerhalb der entsprechenden Fristen zu bearbeiten. Weitere Informationen zu AWS-Support-Plänen finden Sie auf der AWS-Support-Website.


F: Erhalte ich bei Angriffen eine Benachrichtigung von AWS Shield?

Ja. Bei AWS Shield Advanced werden Sie über CloudWatch-Metriken über DDoS-Angriffe benachrichtigt.

F: Wie schnelle erhalte ich eine Benachrichtigung über einen Angriff?

Normalerweise gibt AWS Shield Advanced innerhalb weniger Minuten nach der Erkennung des Angriffs eine Benachrichtigung aus.

F: Kann ich den Verlauf aller DDoS-Angriffe auf meine AWS-Ressourcen anzeigen?

Ja. Mit AWS Shield Advanced können Sie den Verlauf aller Ereignisse in den letzten 13 Monaten anzeigen.

F: Wie kann ich anzeigen, ob meine AWS WAF-Regeln funktionieren?

Es gibt zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall, und in der AWS WAF-API und der Management Console sind Webanforderungen-Stichproben verfügbar. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im AWS WAF and AWS Shield Advanced Developer Guide.


F: Wie zahle ich für AWS Shield Standard?

AWS Shield Standard ist in die AWS Services integriert, die Sie bereits für Ihre Webanwendungen nutzen. Es fallen keine zusätzlichen Kosten für AWS Shield Standard an.

F: Wie zahle ich für AWS Shield Advanced?

Für AWS Shield Advanced zahlen Sie eine monatliche Gebühr von 3 000 USD. Zusätzlich zahlen Sie eine Nutzungsgebühr für die Datenübertragung der AWS-Ressourcen, die für den erweiterten Schutz aktiviert sind. Die Gebühren für AWS Shield Advanced fallen zusätzlich zu den Standardgebühren für Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 an. Einzelheiten finden Sie auf der Preisübersicht zu AWS Shield.

Q. Wie kann ich AWS Shield Advanced für mehrere AWS-Konten einsetzen?

Wenn Ihre Organisation über mehrere AWS-Konten verfügt, können Sie AWS Shield Advanced mit mehreren AWS-Konten abonnieren. Sie zahlen die monatliche Gebühr nur ein Mal, so lange die AWS-Konten gemeinsam abgerechnet werden und Sie alle AWS-Konten und -Ressourcen in diesen Konten besitzen.