- Sicherheit, Identität und Compliance›
- AWS Shield›
- Häufig gestellte Fragen
AWS Shield – Häufig gestellte Fragen
Allgemeines
Was ist AWS Shield?
AWS Shield ist ein verwalteter Service, der Schutz vor DDoS-Angriffen (Distributed Denial of Service) für Webanwendungen bietet, die unter AWS ausgeführt werden. AWS Shield Standard steht allen AWS-Kunden ohne Zusatzkosten automatisch zur Verfügung. AWS Shield Advanced ist ein optionaler kostenpflichtiger Service. AWS Shield Advanced bietet zusätzlichen Schutz vor größeren und anspruchsvolleren Angriffen für Ihre Anwendungen, die unter Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Route 53 ausgeführt werden.
Was ist AWS Shield Standard?
AWS Shield Standard bietet Schutz für alle AWS-Kunden vor verbreiteten und am häufigsten vorkommenden Infrastruktur-Angriffen (Ebene 3 und 4), wie SYN/UDP-Floods, Reflexionsangriffen und anderen, um für eine hohe Verfügbarkeit Ihrer Anwendungen unter AWS zu sorgen.
Was ist AWS Shield Advanced?
AWS Shield Advanced bietet zusätzlichen Schutz für Ihre Anwendungen, die unter geschützten Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Route 53 ausgeführt werden, vor größeren und ausgefeilteren Angriffen. Der Schutz von AWS Shield Advanced bietet eine durchgehende, datenflussbasierte Überwachung des Netzwerkverkehrs sowie eine aktive Anwendungsüberwachung zur Generierung von Benachrichtigungen über DDoS-Angriffe fast in Echtzeit. AWS Shield Advanced verwendet zudem fortschrittliche Angriffsabwehr- und Routingtechniken zur automatischen Abschwächung von Angriffen. Kunden mit Business- oder Enterprise-Support können auch auf das rund um die Uhr verfügbare Shield Response Team (SRT) zurückgreifen, um mit den DDoS-Angriffen auf ihre Anwendungsschicht umzugehen und diese abzuwehren. Die DDoS-Kostenabsicherung für die Skalierung schützt Ihre AWS-Rechnung vor zu hohen Gebühren aufgrund von Belastungsspitzen durch Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 während eines DDoS-Angriffs.
Was ist DDoS-Kostenabsicherung für die Skalierung?
AWS Shield Advanced umfasst eine DDoS-Kostenabsicherung, einen Schutz vor steigenden Kosten als Ergebnis eines DDoS-Angriffs, der Belastungsspitzen bei Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator oder Amazon Route 53 verursacht. Wenn eine der geschützten Ressourcen von AWS Shield Advanced als Reaktion auf einen DDoS-Angriff skaliert wird, können Sie über den herkömmlichen AWS-Supportkanal Gutschriften anfordern.
Kann ich AWS Shield zum Schutz von Websites verwenden, die nicht von AWS gehostet werden?
Ja. AWS Shield ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt auch benutzerdefinierte Ursprünge außerhalb von AWS.
Kann ich IPv6 mit allen Features von AWS Shield verwenden?
Ja. Alle Erkennungs- und Abwehrfunktionen von AWS Shield funktionieren mit IPv6 und IPv4 ohne erkennbare Änderungen bei der Leistung, Skalierbarkeit oder Verfügbarkeit des Service.
Wie kann ich AWS Shield testen?
In der Richtlinie zur angemessenen Verwendung (Acceptable Use Policy) von AWS werden zulässige und nicht zulässige Verhaltensweisen in AWS beschrieben. Die Richtlinie enthält außerdem Beschreibungen von untersagten Sicherheitsverletzungen und Netzwerkmissbrauch. Da DDoS-Simulationstests, Penetrationstests und andere simulierte Ereignisse häufig jedoch nicht von solchen Aktivitäten zu unterscheiden sind, haben wir Richtlinien eingeführt, damit unsere Kunden die Berechtigung zur Durchführung von DDoS-Tests, Penetrationstests und Prüfungen auf Schwachstellen anfordern können. Weitere Informationen finden Sie auf unserer Seite zu Penetrationstests und in unserer Richtlinie zu DDoS-Simulationstests.
In welchen AWS-Regionen ist AWS Shield Standard verfügbar?
AWS Shield Standard ist für alle AWS-Services weltweit in allen AWS-Region und an allen AWS-Edge-Standorten verfügbar.
Weitere Informationen über die Verfügbarkeit von AWS Shield Standard nach Regionen finden Sie unter Regionale Produkte und Services.
In welchen AWS-Regionen ist AWS Shield Advanced verfügbar?
AWS Shield Advanced ist weltweit an allen Edge-Standorten von Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von Amazon CloudFront vor der Anwendung schützen. Bei den Ursprungsservern kann es sich um Amazon Simple Storage Service (S3), Amazon EC2, Elastic Load Balancing oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können AWS Shield Advanced auch direkt auf Elastic Load Balancing oder Amazon EC2 in den folgenden AWS-Regionen aktivieren: Nord-Virginia, Ohio, Oregon, Nordkalifornien, Montreal, São Paulo, Irland, Frankfurt, London, Paris, Stockholm, Singapur, Tokio, Sydney, Seoul, Mumbai, Mailand, Kapstadt, Hongkong, Bahrain, Malaysia und Vereinigte Arabische Emirate.
Weitere aktuelle Informationen über die Verfügbarkeit von AWS Shield Advanced nach Regionen finden Sie unter Regionale Produkte und Services.
Ist AWS Shield HIPAA-Fähig?
Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS Shield als HIPAA-fähigen Service ausgeweitet. Wenn Sie ein aktives Business Associate Agreement (BAA) mit AWS haben, können Sie AWS Shield zum Schutz Ihrer Webanwendungen, die auf AWS ausgeführt werden, vor Distributed Denial of Service (DDoS)-Angriffen verwenden. Weitere Informationen finden Sie unter HIPAA-Compliance.
Konfigurieren von Schutzmaßnahmen
Vor welchen Angriffsarten kann mich AWS Shield Standard schützen?
AWS Shield Standard bietet automatischen Schutz für Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden Angriffen auf die Infrastruktur-Ebene, wie UDP-Floods und State Exhaustion-Angriffen, wie TCP SYN Floods. Die Kunden können AWS WAF auch verwenden, um sich vor Angriffen auf die Anwendungsebene, wie HTTP POST oder GET Floods, zu schützen. Weitere Einzelheiten zur Implementierung Schutzeinrichtungen für die Anwendungsschichten finden Sie im Entwicklerhandbuch für AWS WAF und AWS Shield Advanced.
Wie viele Ressourcen kann ich für den AWS-Shield-Standard-Schutz aktivieren?
Es gibt keine Beschränkung der Anzahl von Ressourcen, die mit AWS Shield Standard geschützt werden können. Sie können alle Vorteile des AWS-Shield-Standard-Schutzes nutzen, indem Sie dieBewährte Methoden für DDoS-Resilienz in AWS umsetzen.
Wie viele Ressourcen kann ich für den Schutz von AWS Shield Advanced aktivieren?
Sie können bis zu 1 000 AWS-Ressourcen jedes unterstützten Ressourcentyps (Classic / Application Load Balancers, Amazon-CloudFront-Verteilungen, Amazon-Route-53-Hostingzonen, Elastic IPs, AWS-Global-Accelerator-Beschleuniger) für den Schutz durch AWS Shield Advanced aktivieren. Wenn Sie mehr als 1 000 Ressourcen aktivieren möchten, können Sie eine Anhebung des Limits beantragen, indem Sie eine AWS-Support-Anfrage erstellen.
Kann ich den AWS-Shield-Advanced-Schutz über API aktivieren?
Ja. AWS Shield Advanced kann über APIs aktiviert werden. Sie können AWS-Ressourcen auch über APIs zum AWS Shield Advanced-Schutz hinzufügen oder daraus entfernen.
Wie schnell werden Angriffe abgewehrt?
Normalerweise werden 99 % der Angriffe auf die Infrastruktur-Ebene, die von AWS Shield erkannt werden, bei Angriffen auf Amazon CloudFront und Amazon Route 53 in weniger als 1 Sekunde, und bei Angriffen auf Elastic Load Balancing in weniger als 5 Minuten abgewehrt. Das verbleibende 1 % der Infrastruktur-Angriffe wird normalerweise in weniger als 20 Minuten abgewehrt. Angriffe auf die Anwendungsebene werden durch Schreiben von Regeln in AWS WAF mitigiert. Diese Regeln werden dann untersucht und im Zuge eingehenden Datenverkehrs mitigiert.
Kann ich Ressourcen außerhalb von AWS schützen?
Ja. Eine große Anzahl unserer Kunden hat sich entschieden, AWS-Endpunkte vor ihre Backend-Instances zu setzen. In der Regel handelt es sich bei diesen Endpunkten um unsere weltweit verteilten Services CloudFront und Route 53. Diese Services sind auch unsere Empfehlungen für bewährte Methoden für DDoS-Ausfallsicherheit. Kunden können in der Folge diese CloudFront-Distributionen und auf Route 53 gehosteten Zonen mit Shield Advanced schützen. Beachten Sie, dass Sie Ihre Backend-Ressourcen so konfigurieren bzw. beschränken müssen, dass ausschließlich Datenverkehr von diesen AWS-Endpunkten akzeptiert wird.
Reaktion auf Angriffe
Welche Tools bietet mir AWS Shield Standard zum Abwehren von DDoS-Angriffen?
AWS Shield Standard schützt automatisch Ihre Webanwendungen, die unter AWS ausgeführt werden, vor den gängigsten, häufig auftretenden DDoS-Angriffen. Sie können in den Genuss aller Vorteile von AWS Shield Standard gelangen, indem Sie die Best Practices für DDoS-Resilienz unter AWS umsetzen.
Welche Tools bietet mir AWS Shield Advanced zur Abwehr von DDoS-Angriffen?
AWS Shield Advanced verwaltet die Abwehr bei DDoS-Angriffen auf Ebene 3 und Ebene 4. Das bedeutet, dass Ihre designierten Anwendungen vor Angriffen wie UDP-Floods oder TCP SYN Floods geschützt sind. Darüber hinaus kann AWS Shield Advanced für Angriffe auf die Anwendungsschicht (Layer 7) Angriffe wie HTTP-Floods und DNS-Floods erkennen. Zudem können Sie, wenn Sie über Business- oder Enterprise-Support verfügen, AWS WAF verwenden, um Ihre eigene Abwehr anzuwenden, oder Sie können auf das rund um die Uhr verfügbare AWS Shield Response Team (SRT) zurückgreifen, das in Ihrem Namen Regeln schreiben kann, um DDoS-Angriffe auf Ebene 7 abzuwehren.
Benötige ich einen speziellen Supportplan, um das AWS Shield Response Team zu kontaktieren?
Ja, Sie benötigen einen Business- oder Enterprise-Support-Plan, um das AWS Shield Response Team (SRT) zu kontaktieren. Weitere Informationen zu AWS-Support-Plänen finden Sie auf der AWS-Support-Website.
Wie kann ich das AWS Shield Response Team kontaktieren?
Sie können das AWS Shield Response Team (SRT) über den herkömmlichen AWS Support engagieren oder kontaktieren Sie AWS Support.
Wie schnell kann ich das AWS Shield Response Team (SRT) engagieren?
Die Reaktionszeit für SRT hängt von dem AWS-Supportplan ab, den Sie abonniert haben. Wir ergreifen alle angemessenen Maßnahmen, um Ihre erste Anfrage innerhalb der entsprechenden Fristen zu bearbeiten. Weitere Informationen zu AWS-Support-Plänen finden Sie auf der AWS-Support-Website.
Sichtbarkeit und Berichterstellung
Erhalte ich bei Angriffen eine Benachrichtigung von AWS Shield?
Ja. Bei AWS Shield Advanced werden Sie über CloudWatch-Metriken über DDoS-Angriffe benachrichtigt.
Wie schnell erhalte ich eine Benachrichtigung über einen Angriff?
Normalerweise gibt AWS Shield Advanced innerhalb weniger Minuten nach der Erkennung des Angriffs eine Benachrichtigung aus.
Kann ich den Verlauf aller DDoS-Angriffe auf meine AWS-Ressourcen anzeigen lassen?
Ja. Mit AWS Shield Advanced können Sie den Verlauf aller Ereignisse in den letzten 13 Monaten anzeigen.
Kann ich Angriffe über AWS hinweg sehen?
Ja, AWS Shield Advanced-Kunden erhalten Zugriff auf das Global Threat Environment-Dashboard, das eine anonymisierte und stichprobenartige Ansicht aller DDoS-Angriffe auf AWS innerhalb der letzten 2 Wochen bietet.
Wie kann ich feststellen, ob meine AWS-WAF-Regeln funktionieren?
Mit AWS WAF gibt es zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall und in der AWS-WAF-API oder der AWS-Managementkonsole sind Stichproben von Webanforderungen verfügbar. Zusätzlich können Sie umfassende Protokolle aktivieren, die über Amazon Kinesis Firehose an ein Ziel Ihrer Wahl geliefert werden. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese Webanforderung aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im Entwicklerhandbuch für AWS WAF und AWS Shield Advanced.
Ich muss einen Penetrationstest durchführen, um den Service und meine Anwendung zu prüfen. Welches Verfahren wird empfohlen?
Weitere Informationen finden Sie unter Penetrationstests in AWS. Dies umfasst jedoch nicht den DDoS-Ladetest. Dieser Test ist auf AWS nicht zulässig. Wenn Sie einen Live-DDoS-Test durchführen möchten, können Sie eine Genehmigung anfordern, indem Sie ein entsprechendes Ticket beim AWS Support eröffnen. Die Genehmigung für einen solchen Test setzt die Zustimmung zu den Bedingungen des Tests durch AWS, den Kunden und den Anbieter für den DDoS-Test voraus. Beachten Sie, dass wir nur mit genehmigten Anbietern für DDoS-Tests zusammenarbeiten und der gesamte Prozess drei bis vier Wochen dauern kann.
Fakturierung
Wie zahle ich für AWS Shield Standard?
AWS Shield Standard ist in die AWS-Dienstleistungen integriert, die Sie bereits für Ihre Webanwendungen nutzen. Es fallen keine zusätzlichen Kosten für AWS Shield Standard an.
Wie zahle ich für AWS Shield Advanced?
Mit AWS Shield Advanced zahlen Sie eine monatliche Gebühr von 3.000 USD pro Unternehmen. Zusätzlich zahlen Sie auch eine Nutzungsgebühr für die Datenübertragung der für den erweiterten Schutz aktivierten AWS-Ressourcen über AWS Shield Advanced. Die Gebühren für AWS Shield Advanced fallen zusätzlich zu den Standardgebühren für Amazon EC2, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 an. Weitere Informationen finden Sie auf der Preisseite für AWS Shield.
Kann ich wahlweise auch nur einen Teil meiner Ressourcen mit AWS Shield Advanced schützen?
Ja, AWS Shield Advanced bietet Ihnen die Flexibilität, die Ressourcen auszuwählen, die Sie schützen möchten. Ihnen wird nur die Datenübertragung mit AWS Shield Advanced für diese geschützten Ressourcen in Rechnung gestellt.
Wie kann ich AWS Shield Advanced für mehrere AWS-Konten aktivieren?
Wenn Ihr Unternehmen über mehrere AWS-Konten verfügt, können Sie mehrere AWS-Konten für AWS Shield Advanced abonnieren, indem Sie diese über die AWS-Managementkonsole oder API für jedes Konto einzeln aktivieren. Sie zahlen die monatliche Gebühr nur ein Mal, so lange die AWS-Konten gemeinsam abgerechnet werden und Sie alle AWS-Konten und -Ressourcen in diesen Konten besitzen.