AWS Shield Standard


Statischer DDoS-Schwellenwert-Schutz für zugrundeliegende AWS-Services

AWS Shield Standard bietet eine ständig aktive Netzwerküberwachung, die den eingehenden Datenverkehr bei AWS-Services untersucht und eine Kombination aus Verkehrssignaturen, Anomalie-Algorithmen und andere Analysetechniken zur Erkennung von schadhaftem Datenverkehr in Echtzeit anwendet. Shield Standard legt statische Schwellenwerte für jeden AWS Ressourcentyp fest, bietet jedoch keine benutzerdefinierten Schutzfunktionen für Anwendungen von AWS Kunden.

Integrierte Angriffsminimierung

Automatisierte Schadensminderungstechniken sind in AWS Shield Standard integriert und bieten den zugrundeliegenden AWS-Services Schutz gegen häufige, häufig auftretende Infrastrukturangriffe. Automatische Abschwächungen werden inline angewendet, um AWS-Services zu schützen, so dass es keine Auswirkungen auf die Latenzzeiten gibt. AWS Shield Standard verwendet Techniken wie deterministische Paketfilterung und prioritätsbasiertes Traffic Shaping, um grundlegende Angriffe auf der Netzwerkschicht automatisch abzuschwächen.

AWS Shield Advanced


Maßgeschneiderte Erkennung auf der Grundlage von Mustern des Anwendungsverkehrs

AWS Shield Advanced bietet eine angepasste Erkennung basierend auf Verkehrsmustern zu Ihrer geschützten Elastic IP Adresse, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator oder Amazon Route 53 Ressourcen. Mit zusätzlichen regionen- und ressourcenspezifischen Überwachungstechniken erkennt AWS Shield Advanced kleinere DDoS-Angriffe und warnt Sie davor. AWS Shield Advanced erkennt außerdem Angriffe auf die Anwendungsebene wie HTTP-Überflutungen oder DNS-Abfrage-Überflutungen durch Baselining des Datenverkehrs auf Ihrer Anwendung und Identifizierung von Anomalien.

Gesundheitsbasierte Erkennung

AWS Shield Advanced nutzt den Zustand Ihrer Anwendungen, um die Reaktionsfähigkeit und Genauigkeit bei der Erkennung von und dem Schutz vor Angriffen zu verbessern. Sie können in Amazon Route 53 eine Zustandsprüfung definieren und sie dann über die Konsole oder API mit einer Ressource verknüpfen, die durch Shield Advanced geschützt ist. Dadurch kann Shield Advanced Angriffe, die sich auf den Zustand Ihrer Anwendung auswirken, schneller und bei niedrigeren Schwellenwerten für den Datenverkehr erkennen, die DDoS-Festigkeit Ihrer Anwendung verbessern und falsch-positive Benachrichtigungen verhindern. Auch der Gesundheitszustand der Ressourcen wird dem DDoS-Reaktionsteam zur Verfügung stehen, so dass es zunächst die Reaktion auf ungesunde Anwendungen entsprechend priorisieren kann. Sie können die zustandsbasierte Erkennung auf alle von Shield Advanced unterstützten Ressourcentypen anwenden: Elastic IP, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator oder Amazon Route 53.

Erweiterte Angriffsminimierung

AWS Shield Advanced bietet ausgefeiltere automatische Angriffsminimierungen, die auf Ihre Anwendungen abzielen, die auf geschützten Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 Ressourcen laufen. Unter Verwendung fortschrittlicher Routing-Techniken setzt AWS Shield Advanced automatisch zusätzliche Kapazitäten zur Schadensbegrenzung ein, um Ihre Anwendung vor DDoS-Angriffen zu schützen. Für Kunden mit Business- oder Enterprise-Unterstützung wendet das AWS DDoS Response Team (DRT) bei komplexeren und ausgefeilteren DDoS-Angriffen, die möglicherweise nur auf Ihre Anwendung zutreffen, auch manuelle Abhilfemaßnahmen an. Für Angriffe auf der Anwendungsebene können Sie die AWS WAF ohne zusätzliche Kosten für die durch AWS Shield Advanced geschützten Ressourcen nutzen, um proaktive Regeln wie z. B. ratenbasiertes Blockieren einzurichten, um Webanfragen von angreifenden Quell-IP-Adressen automatisch zu blockieren oder sofort auf Vorfälle zu reagieren, wenn sie passieren. Sie können sich auch direkt mit dem DRT in Verbindung setzen, um als Reaktion auf einen DDoS-Angriff auf Anwendungsebene benutzerdefinierte AWS WAF-Regeln in Ihrem Namen zu platzieren. Das DRT wird den Angriff diagnostizieren und kann mit Ihrer Erlaubnis in Ihrem Namen Abhilfemaßnahmen ergreifen, um die Zeit zu verkürzen, in der Ihre Anwendungen durch einen laufenden DDoS-Angriff beeinträchtigt werden könnten.

Proaktive Reaktion auf Ereignisse

AWS Shield Advanced bietet ein proaktives Engagement des DDoS Response Teams (DRT), wenn ein DDoS-Ereignis erkannt wird. Wenn Sie ein proaktives Engagement aktivieren, wird sich der DRT direkt mit Ihnen in Verbindung setzen, wenn ein mit Ihrer geschützten Ressource verbundener Amazon Route 53 Gesundheitscheck während einer DDoS-Veranstaltung Fehler erkennt. Dies ermöglicht es Ihnen, schneller mit Experten in Kontakt zu treten, wenn die Verfügbarkeit Ihrer Anwendung durch einen vermuteten Angriff beeinträchtigt werden könnte. Sie können proaktives Engagement für Ereignisse auf der Netzwerk- und Transportschicht auf elastischen IP-Adressen und Global Accelerator-Beschleunigern sowie für Angriffe auf der Anwendungsschicht auf CloudFront-Verteilungen und Application Load Balancers erhalten.

Schutzgruppen

AWS Shield Advanced ermöglicht Ihnen das Bündeln von Ressourcen in Schutzgruppen. Auf diese Weise können Sie den Rahmen der Erkennung und Schadensminderung für Ihre Anwendung selbst individuell anpassen, indem Sie mehrere Ressourcen als Einheit behandeln. Das Gruppieren von Ressourcen verbessert die Erkennungsgenauigkeit, verringert Falschmeldungen, erleichtert den automatischen Schutz neu erstellter Ressourcen und beschleunigt die Entschärfung von Angriffen auf mehrere Ressourcen. Falls eine Anwendung zum Beispiel aus vier CloudFront-Distributionen besteht, können Sie diese einer Schutzgruppe hinzufügen, um die Erkennung und Absicherung für die gesamte Ressourcensammlung sicherzustellen. Auf Schutzgruppenebene können auch Berichte erstellt werden, um Ihnen einen ganzheitlicheren Überblick über den allgemeinen Zustand der Anwendungsintegrität zu ermöglichen.

Sichtbarkeit und Benachrichtigung bei Angriffen

AWS Shield Advanced bietet Ihnen einen umfassenden Überblick über alle DDoS-Angriffe mit nahezu Echtzeitbenachrichtigung via Amazon CloudWatch und ausführlichen Diagnosen in der Management Console oder den APIs von AWS WAF und AWS Shield. Über die "AWS WAF and AWS Shield"-Management-Konsole können Sie auch eine Zusammenfassung vorheriger Angriffe anzeigen.

DDoS-Kostenabsicherung

AWS Shield Advanced wird mit DDoS-Kostenabsicherung geliefert, um vor Skalierungskosten zu schützen, die sich aus DDoS-bezogenen Nutzungsspitzen auf geschützten Amazon Elastic Compute Cloud (EC2)-, Elastic Load Balancing (ELB)-, Amazon CloudFront-, AWS Global Accelerator- oder Amazon Route 53-Ressourcen ergeben. Wenn eine dieser geschützten Ressourcen als Reaktion auf einen DDoS-Angriff vergrößert wird, können Sie AWS Shield Advanced Service-Gutschriften über Ihren regulären AWS Support-Kanal anfordern.

Spezialisierter Support

Für Kunden mit Business-/Enterprise-Support bietet AWS Shield Advanced rund um die Uhr Zugang zum AWS DDoS Response Team (DRT), das vor, während oder nach einem DDoS-Angriff benachrichtigt werden kann. Der DRT hilft bei der Triage der Vorfälle, der Ermittlung der Ursachen und der Anwendung von Abhilfemaßnahmen in Ihrem Namen. Das DRT verfügt über profunde Fachkenntnisse, um schnell auf DDoS-Angriffe bei AWS-Kunden zu reagieren und diese einzudämmen.

Globale Verfügbarkeit

AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um einen Server von Amazon S3, Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB) oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können den Schutz auch direkt auf den Instanzen Elastic IP oder Elastic Load Balancing (ELB) in allen Regionen aktivieren, in denen AWS Shield Advanced verfügbar ist.

Zentralisierte Schutzverwaltung

Kunden von AWS Shield Advanced können AWS Shield Advanced- und AWS WAF-Schutz mit dem AWS Firewall Manager in ihrem gesamten Unternehmen anwenden. Die Kosten für Firewall Manager sind in der Shield Advanced-Abonnementgebühr enthalten. Mit AWS Firewall Manager können Sie automatisch Richtlinien für mehrere Konten und Ressourcen konfigurieren. Firewall Manager prüft Konten automatisch, um neue oder ungeschützte Ressourcen zu finden, und stellt sicher, dass die AWS Shield Advanced- und AWS WAF-Schutzmechanismen universell angewendet werden. Dies ermöglicht es Entwicklern, sich schnell zu bewegen und neue Anwendungen mit der Gewissheit bereitzustellen, dass die entsprechenden Schutzmechanismen automatisch angewendet werden. Weitere Informationen zu AWS Firewall Manager finden Sie auf der Produktwebsite.

Weitere Informationen zur Preisgestaltung von AWS Shield

Preisübersicht
Bereit zum Entwickeln?
Erste Schritte mit AWS Shield
Haben Sie noch Fragen?
Kontakt