AWS Shield ist ein verwalteter Distributed Denial of Service (DDoS)-Schutz-Service, der Web-Anwendungen schützt, die auf AWS ausgeführt werden. AWS Shield bietet immer aktive Erkennung und automatische Inline-Mitigationen, welche die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren, sodass keine Aktivierung des AWS-Support erforderlich ist, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von AWS Shield – Standard und Erweitert.
Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard. AWS Shield Standard schützt vor den meisten häufig auftretenden DDoS-Angriffen auf Netzwerk- und Transportebene, die sich gegen Ihre Website oder Anwendungen richten. Wenn Sie AWS Shield Standard mit Amazon CloudFront und Amazon Route 53 verwenden, erhalten Sie umfangreichen Verfügbarkeitsschutz gegen alle bekannten Infrastruktur-Angriffe (Ebene 3 und 4).
Für einen größeren Schutz vor Angriffen auf Ihre Webanwendungen, die auf Ressourcen von Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront und Amazon Route 53 ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Neben dem Netzwerk- und Transportebenenschutz der Standard-Version bietet AWS Shield Advanced zusätzliche Erkennung und Abwehr bei großen und umfangreichen DDoS-Angriffen, fast Echtzeit-Sichtbarkeit bei Angriffen und Integration in AWS WAF, eine Firewall für Webanwendungen. AWS Shield Advanced ermöglicht Ihnen zusätzlich den Zugriff auf das AWS DDoS Response Team (DRT) und Schutz vor DDoS-bezogenen Belastungsspitzen in Ihren EC2-, ELB-, CloudFront- oder Route 53-Ressourcen.
AWS Shield Advanced ist weltweit an allen Amazon CloudFront- und Amazon Route 53-Edge-Standorten verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon S3-, Amazon Elastic Compute Cloud (EC2)-, Elastic Load Balancing (ELB)- oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können AWS Shield Advanced in den folgenden AWS-Regionen direkt in einer Elastic IP oder in Elastic Load Balancing (ELB) aktivieren: Nord-Virginia, Oregon, Irland, Tokio und Nordkalifornien.
Mit AWS Shield Standard werden Ihre AWS-Ressourcen automatisch vor bekannten, regelmäßig auftretenden Angriffen auf Netzwerk- und Transportebene geschützt. Sie erreichen einen besseren Schutz, indem Sie AWS Shield Advanced einfach über die Management-Konsole oder die APIs für die zu schützenden Elastic IP-, Elastic Load Balancing (ELB)-, Amazon CloudFront- oder Amazon Route 53-Ressourcen aktivieren.
Mit AWS Shield Advanced haben Sie die Flexibilität, angepasste Regeln zu verfassen, um umfangreiche Angriffe auf Anwendungsebeneen zu verringern. Diese anpassbaren Regeln können sofort eingesetzt werden, sodass Sie schnell auf Angriffe reagieren können. Sie können proaktive Regeln einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, wenn diese auftreten. Sie können auch das 24X7 AWS DDoS Response Team (DRT) aktivieren, das Regeln für Sie zur Verringerung von DDoS-Angriffen auf die Anwendungsebene zu erstellen.
Als AWS-Kunde erhalten Sie automatisch Netzwerkebene-Schutz vor einigen der häufigsten DDoS-Angriffe mit AWS Shield Standard. Für diesen Schutz sind keine zusätzlichen Kosten, Ressourcen oder Einrichtungszeit erforderlich. Mit AWS Shield Advanced erhalten Sie "DDoS Kostenabsicherung", eine Funktion, die Ihre AWS-Rechnung vor EC2-, Elastic Load Balancing (ELB)-, Amazon CloudFront- und Amazon Route 53-Belastungsspitzen als Ergebnis eines DDoS-Angriffs schützt.
Schnellerkennung
AWS Shield Standard bietet eine ständig aktive Netzwerküberwachung, die den eingehenden Datenverkehr bei AWS untersucht und eine Kombination aus Verkehrssignaturen, Anomalie-Algorithmen und andere Analysetechniken zur Erkennung von schadhaftem Datenverkehr in Echtzeit verwendet.
Integrierte Angriffsminimierung
Automatisierte Abwehrtechniken sind in AWS Shield Standard integriert und schützen Sie vor bekannten, regelmäßig auftretenden Angriffen auf Ihre Infrastruktur. Automatische Mitigationen werden inline auf Ihre Anwendungen angewendet, sodass keine Auswirkungen auf die Latenz auftreten. Eine ständig aktive Erkennung und Inline-Abwehr minimiert die Ausfallzeiten von Anwendungen und Sie müssen den AWS-Support nicht aktivieren, um DDoS-Schutz zu erhalten. AWS Shield Standard verwendet verschiedene Techniken wie deterministische Paketfilterung und prioritätsbasierte Datenverkehrsformung, um Angriffe automatisch ohne Auswirkungen auf Ihre Anwendungen zu mitigieren. Sie können DDoS-Angriffe auf die Anwendungsebene auch mitigieren, indem Sie mithilfe von AWS WAF Regeln verfassen. Bei AWS WAF zahlen Sie nur für die tatsächliche Nutzung.
Verbesserte Erkennung
AWS Shield Advanced bietet eine verbesserte Erkennung durch Überprüfen der Datenströme im Netzwerk und zusätzliche Überwachung des Datenverkehrs in der Anwendungsebene zu Ihren Elastic IP-Adress-, Elastic Load Balancing (ELB)-, Amazon CloudFront- oder Amazon Route 53-Ressourcen. Unter Verwendung zusätzlicher Techniken wie ressourcenspezifische Überwachung ermöglicht AWS Shield Advanced die granulare Erkennung von DDoS-Angriffen. AWS Shield Advanced erkennt DDoS-Angriffe auf die Anwendungsebene wie HTTP-Überflutungen oder DNS-Abfrage-Überflutungen durch Baselining des Datenverkehrs auf Ihrer Ressource und Identifzierung von Anomalien.
Erweiterte Angriffs-Mitigation
Neben den Vorteilen von AWS Shield Standard erhalten Sie zusätzlich noch umfangreichere automatische Mitigationen. Das AWS DDoS Response Team (DRT) wendet zusätzlich manuelle Mitigationen für komplexere und umfangreichere DDoS-Angriffe an. AWS Shield Advanced verwendet erweiterte Routing-Techniken und bietet automatisch weitere Abwehrkapazitäten zum Schutz vor größeren DDoS-Angriffen. Für Angriffe auf Anwendungsebeneen können Sie AWS WAF verwenden, um auf Ereignisse zu reagieren. Mit AWS WAF können Sie proaktive Regeln einrichten, um schlechten Datenverkehr automatisch zu blockieren oder auf Ereignisse zu reagieren, wenn diese auftreten. Für die Nutzung von AWS WAF fallen keine zusätzlichen Gebühren an. Sie können sich zudem direkt das DRT wenden, um als Antwort auf einen DDoS-Angriff auf Anwendungsebene AWS WAF-Regeln in Ihrem Auftrag zu platzieren. Das DRT erstellt eine Diagnose des Angriffs und wendet mit Ihrer Erlaubnis Mitigationen in Ihrem Namen an.
Sichtbarkeit und Benachrichtigung bei Angriffen
Mit AWS Shield Advanced können Sie DDoS-Angriffe mit einer Benachrichtigung fast in Echtzeit über Amazon CloudWatch vollständig anzeigen. In Zusammenarbeit mit dem AWS DDoS Response Team (DRT) können Sie auf Analysen und Untersuchungen nach dem Ereignis zugreifen. Über die „AWS WAF and AWS Shield“-Management-Konsole können Sie auch eine Zusammenfassung vorheriger Angriffe anzeigen.
Spezialisierter Support
Mit AWS Shield Advanced haben Sie die Möglichkeit, ein rund um die Uhr verfügbares DDoS Response Team (DRT) zu kontaktieren, das vor, während oder nach einem DDoS-Angriff benachrichtigt werden kann. Das DRT unterstützt Sie dabei, die Ereignisse zu sichten, die Grundursachen zu identifizieren und in Ihrem Namen Mitigationen anzuwenden. Sie können das DRT auch für Analysen nach dem Angriff aktivieren.
DDoS-Kostensicherung
AWS Shield Advanced wird mit "DDoS-Kostenabsicherung" angeboten, einem Schutz vor steigenden Kosten als Ergebnis eines DDoS-Angriffs, der Belastungsspitzen bei Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront oder Amazon Route 53 verursacht. Falls einer dieser Services als Reaktion auf einen DDoS-Angriff angepasst wird, bietet AWS Servicerabatte auf Kosten, die aufgrund der Belastungsspitzen entstehen. Weitere Einzelheiten zur Anforderung von Service-Guthaben finden Sie in der erweiterten Dokumentation zu AWS WAF und AWS Shield.
Ihre Web-Anwendungen, die unter AWS ausgeführt werden, sind bereits durch AWS Shield Standard geschützt. Zur Aktivierung von AWS Shield Advanced wechseln Sie zur „AWS WAF and AWS Shield“ Management-Konsole, und wählen Sie die Ressourcen, für die Sie den erweiterten Schutz aktivieren möchten.
