AWS Shield ist ein verwalteter Distributed Denial of Service (DDoS)-Schutzservice, der Anwendungen schützt, die auf AWS ausgeführt werden. Er bietet eine dynamische Erkennung und automatische Inline-Mitigationen, welche die Ausfallzeiten und Latenzzeiten von Anwendungen minimieren, sodass keine Aktivierung des AWS-Support erforderlich ist, um vom DDoS-Schutz zu profitieren. Es gibt zwei Stufen von AWS Shield – Standard und Erweitert.
Alle AWS-Kunden profitieren ohne zusätzliche Kosten vom automatischen Schutz durch AWS Shield Standard. AWS Shield Standard schützt vor den gängigsten, häufig auftretenden DDoS-Angriffen auf Netzwerk und Transportebene, die sich gegen Ihre Website oder Anwendungen richten. Wenn Sie AWS Shield Standard mit Amazon CloudFront und Amazon Route 53 verwenden, erhalten Sie umfangreichen Verfügbarkeitsschutz gegen alle bekannten Infrastruktur-Angriffe (Ebene 3 und 4).
AWS Shield Standard bietet eine ständig aktive Netzwerküberwachung, die den eingehenden Datenverkehr bei AWS-Services untersucht und eine Kombination aus Verkehrssignaturen, Anomalie-Algorithmen und andere Analysetechniken zur Erkennung von schadhaftem Datenverkehr in Echtzeit anwendet. Shield Standard legt statische Schwellenwerte für jeden AWS Ressourcentyp fest, bietet jedoch keine benutzerdefinierten Schutzfunktionen für Ihre Anwendungen.
Automatisierte Schadensminderungstechniken sind in AWS Shield Standard integriert und bieten den zugrundeliegenden AWS-Services Schutz gegen häufige, häufig auftretende Infrastrukturangriffe. Automatische Abschwächungen werden inline angewendet, um AWS-Services zu schützen, so dass es keine Auswirkungen auf die Latenzzeiten gibt. Shield Standard verwendet Techniken wie deterministische Paketfilterung und prioritätsbasiertes Traffic Shaping, um grundlegende Angriffe auf der Netzwerkschicht automatisch abzuschwächen.
Um einen erhöhten Schutz vor Angriffen auf Ihre Anwendungen zu gewährleisten, die auf Ressourcen von Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Neben dem Netzwerk- und Transportebenen-Schutz der Standard-Version, bietet Shield Advanced zusätzliche Erkennung und Schadensminderung bei großen und umfangreichen DDoS-Angriffen, fast Echtzeit-Sichtbarkeit bei Angriffen und Integration in AWS WAF, eine Firewall für Webanwendungen. Shield Advanced ermöglicht Ihnen zusätzlich Rund-um-die-Uhr-Zugriff auf das AWS Shield Response Team (SRT) und Schutz vor DDoS-bezogenen Belastungsspitzen in Ihren EC2-, ELB-, CloudFront-, Global-Accelerator- und Route-53-Gebühren.
AWS Shield Advanced bietet eine angepasste Erkennung basierend auf Verkehrsmustern zu Ihrer geschützten Elastic IP Adresse, ELB-, CloudFront-, Global-Accelerator- und Route-53-Ressourcen. Mit zusätzlichen regionen- und ressourcenspezifischen Überwachungstechniken erkennt Shield Advanced kleinere DDoS-Angriffe und warnt Sie davor. Shield Advanced erkennt außerdem Angriffe auf die Anwendungsebene wie HTTP-Überflutungen oder DNS-Abfrage-Überflutungen durch Baselining des Datenverkehrs auf Ihrer Anwendung und Identifizierung von Anomalien.
AWS Shield Advanced nutzt den Zustand Ihrer Anwendungen, um die Reaktionsfähigkeit und Genauigkeit bei der Erkennung von und dem Schutz vor Angriffen zu verbessern. Sie können in Route 53 eine Zustandsprüfung definieren und sie dann über die Konsole oder API mit einer Ressource verknüpfen, die durch Shield Advanced geschützt ist. Dadurch kann Shield Advanced Angriffe, die sich auf den Zustand Ihrer Anwendung auswirken, schneller und bei niedrigeren Schwellenwerten für den Datenverkehr erkennen, die DDoS-Festigkeit Ihrer Anwendung verbessern und falsch-positive Benachrichtigungen verhindern. Auch der Gesundheitszustand der Ressourcen steht dem SRT zur Verfügung, so dass es zunächst die Reaktion auf ungesunde Anwendungen entsprechend priorisieren kann. Sie können die zustandsbasierte Erkennung auf alle von Shield Advanced unterstützten Ressourcentypen anwenden: Elastic IP, ELB, CloudFront, Global Accelerator und Route 53.
AWS Shield Advanced bietet ausgefeiltere automatische Angriffsminimierungen, die auf Ihre Anwendungen abzielen, die auf geschützten EC2-,ELB-, CloudFront-, Global-Accelerator- und Route-53-Ressourcen laufen. Unter Verwendung fortschrittlicher Routing-Techniken setzt Shield Advanced automatisch zusätzliche Kapazitäten zur Schadensbegrenzung ein, um Ihre Anwendung vor DDoS-Angriffen zu schützen. Für Kunden mit Business- oder Enterprise-Unterstützung wendet das SRT bei komplexeren und ausgefeilteren DDoS-Angriffen, die möglicherweise nur auf Ihre Anwendung zutreffen, auch manuelle Abhilfemaßnahmen an. Für Angriffe auf der Anwendungsschicht können Sie die AWS WAF ohne zusätzliche Kosten für die durch Shield Advanced geschützten Ressourcen nutzen, um proaktive Regeln wie z. B. ratenbasiertes Blockieren einzurichten, um Webanfragen von angreifenden Quell-IP-Adressen automatisch zu blockieren oder sofort auf Vorfälle zu reagieren, wenn sie passieren. Sie können sich auch direkt mit dem SRT in Verbindung setzen, um als Reaktion auf einen DDoS-Angriff auf Anwendungsschicht benutzerdefinierte AWS WAF-Regeln in Ihrem Namen zu platzieren. Das SRT wird den Angriff diagnostizieren und mit Ihrer Erlaubnis in Ihrem Namen Abhilfemaßnahmen ergreifen, um die Zeit zu verkürzen, in der Ihre Anwendungen durch einen laufenden DDoS-Angriff beeinträchtigt werden könnten.
AWS Shield Advanced schützt Webanwendungen automatisch, indem es DDoS-Ereignisse der Anwendungsebene (Ebene 7) mitigiert, ohne dass Sie oder das SRT manuell eingreifen müssen. Shield Advanced kann WAF-Regeln in Ihrem WebACLs erstellen, die automatisch Angriffe mitigieren oder Sie aktivieren diese im Count-Only-Modus. Dies ermöglicht Ihnen rasch auf DDoS-Vorfälle zu reagieren und die Anwendungs-Downtime aufgrund eines DDoS-Angriffs auf Anwendungsebene zu minimieren.
AWS Shield Advanced bietet ein proaktives Engagement des SRT, wenn ein DDoS-Ereignis erkannt wird. Wenn Sie ein proaktives Engagement aktivieren, wird sich der SRT direkt mit Ihnen in Verbindung setzen, wenn ein mit Ihrer geschützten Ressource verbundener Route 53-Gesundheitscheck während einer DDoS-Veranstaltung Fehler erkennt. Dies ermöglicht es Ihnen, schneller mit Experten in Kontakt zu treten, wenn die Verfügbarkeit Ihrer Anwendung durch einen vermuteten Angriff beeinträchtigt werden könnte. Sie können proaktives Engagement für Ereignisse auf der Netzwerk- und Transportschicht auf elastischen IP-Adressen und Global Accelerator-Beschleunigern sowie für Angriffe auf der Anwendungsschicht auf CloudFront-Verteilungen und Application Load Balancers erhalten.
AWS Shield Advanced ermöglicht Ihnen das Bündeln von Ressourcen in Schutzgruppen. Auf diese Weise können Sie den Rahmen der Erkennung und Schadensminderung für Ihre Anwendung selbst individuell anpassen, indem Sie mehrere Ressourcen als Einheit behandeln. Das Gruppieren von Ressourcen verbessert die Erkennungsgenauigkeit, verringert Falschmeldungen, erleichtert den automatischen Schutz neu erstellter Ressourcen und beschleunigt die Entschärfung von Angriffen auf mehrere Ressourcen. Falls eine Anwendung zum Beispiel aus vier CloudFront-Distributionen besteht, können Sie diese einer Schutzgruppe hinzufügen, um die Erkennung und Absicherung für die gesamte Ressourcensammlung sicherzustellen. Auf Schutzgruppenebene können auch Berichte erstellt werden, um Ihnen einen ganzheitlicheren Überblick über den allgemeinen Zustand der Anwendungsintegrität zu ermöglichen.
AWS Shield Advanced bietet Ihnen einen umfassenden Überblick über alle DDoS-Angriffe mit nahezu Echtzeitbenachrichtigung via Amazon CloudWatch und ausführlichen Diagnosen in der AWS-WAF- oder AWS-Shield-Konsole oder über APIs. Sie können sich über die Konsole auch eine Zusammenfassung vorhergehender Angriffe anzeigen lassen.
AWS Shield Advanced wird mit DDoS-Kostenabsicherung geliefert, um vor Skalierungskosten zu schützen, die sich aus DDoS-bezogenen Nutzungsspitzen auf geschützten EC2-,ELB-, CloudFront-, Global-Accelerator- oder Route-53-Ressourcen ergeben. Wenn eine dieser geschützten Ressourcen als Reaktion auf einen DDoS-Angriff vergrößert wird, können Sie Shield Advanced Service-Gutschriften über Ihren regulären AWS Support-Kanal anfordern.
Kunden mit Business- oder Enterprise-Supportplänen erhalten mit AWS Shield Advanced rund um die Uhr Zugriff auf das SRT, das vor, während oder nach einem DDoS-Angriff aktiviert werden kann. Das SRT hilft bei der Triage der Vorfälle, der Ermittlung der Ursachen und der Anwendung von Abhilfemaßnahmen in Ihrem Namen. Das SRT verfügt über profunde Fachkenntnisse, um schnell auf DDoS-Angriffe bei AWS-Kunden zu reagieren und diese einzudämmen.
AWS Shield Advanced ist weltweit an allen Edge-Standorten von CloudFront, Global Accelerator und Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon Simple Storage Service (S3)-, EC2-, ELB- oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können den Schutz auch direkt auf den Instanzen Elastic IP oder ELB in allen AWS-Regionen aktivieren, in denen Shield Advanced verfügbar ist.
Kunden von AWS Shield Advanced können Shield Advanced- und AWS-WAF-Schutz mit dem AWS Firewall Manager in ihrem gesamten Unternehmen anwenden. Die Kosten für Firewall Manager sind in der Shield Advanced-Abonnementgebühr enthalten. Mit Firewall Manager können Sie automatisch Richtlinien für mehrere Konten und Ressourcen konfigurieren. Firewall Manager prüft Konten automatisch, um neue oder ungeschützte Ressourcen zu finden, und stellt sicher, dass die Shield Advanced- und AWS WAF-Schutzmechanismen universell angewendet werden. Dies ermöglicht es Entwicklern, sich schnell zu bewegen und neue Anwendungen mit der Gewissheit bereitzustellen, dass die entsprechenden Schutzmechanismen automatisch angewendet werden. Über mehr über diesen Sicherheits-Verwaltungsservice zu erfahren, besuchen Sie AWS Firewall Manager.