Überspringen zum Hauptinhalt

AWS Shield-Funktionen

Warum AWS Shield?

AWS Shield schützt Netzwerke und Anwendungen, indem es Probleme bei der Netzwerksicherheitskonfiguration identifiziert und Anwendungen vor aktiven Web-Exploits und Distributed-Denial-of-Service-Ereignissen (DDoS) schützt. AWS Shield bietet hierfür zwei wichtige Funktionen: 

AWS Shield Network Security Director (in der Vorschau) führt eine Analyse Ihrer Ressourcen durch, um Ihnen zu helfen, Ihre Netzwerktopologie zu visualisieren, Konfigurationsprobleme zu identifizieren und umsetzbare Empfehlungen zur Behebung zu erhalten.

AWS Shield Advanced bietet verwalteten DDoS-Schutz zur kontinuierlichen automatischen Abwehr komplexer DDoS-Ereignisse, um Anwendungsausfälle und Latenzzeiten zu minimieren. Sie können Ihre DDoS-Schutzstrategie mithilfe anwendungsspezifischer Sicherheitskontrollen und fachkundiger Beratung durch das Shield Response Team während aktiver DDoS-Ereignisse individuell anpassen. 

AWS Shield Standard

Alles öffnen

    Alle AWS-Kunden profitieren ohne zusätzliche Kosten von den automatischen Schutzmaßnahmen von AWS Shield Standard. AWS Shield Standard schützt vor den gängigsten, häufig auftretenden DDoS-Angriffen auf Netzwerk- und Transportschicht, die auf Ihre Website oder Anwendungen abzielen. Wenn Sie AWS Shield Standard zusammen mit Amazon CloudFront und Amazon Route 53 nutzen, erhalten Sie umfassenden Verfügbarkeitsschutz vor allen bekannten Infrastrukturereignissen (Schicht 3 und 4).

    AWS Shield Standard bietet eine permanente Überwachung des Netzwerk-Flows, die den eingehenden Datenverkehr zu AWS-Services überprüft und eine Kombination aus Datenverkehrssignaturen, Anomaliealgorithmen und anderen Analysetechniken anwendet, um bösartigen Datenverkehr in Echtzeit zu erkennen. Shield Standard legt statische Schwellenwerte für jeden AWS-Ressourcentyp fest, bietet jedoch keinen benutzerdefinierten Schutz für Ihre Anwendungen.

    In AWS Shield Standard sind automatisierte Abwehrmechanismen integriert, die die zugrunde liegenden AWS-Services vor gängigen, häufig auftretenden Infrastrukturereignissen schützen. Die automatischen Abwehrmaßnahmen werden direkt angewendet, um AWS-Services zu schützen, sodass keine Auswirkungen auf die Latenz entstehen. Shield Standard nutzt Techniken wie deterministische Paketfilterung und prioritätsbasierte Traffic-Shaping, um grundlegende Angriffe auf der Netzwerkschicht automatisch abzuwehren.

AWS Shield Advanced

Alles öffnen

    Für einen höheren Schutz vor Angriffen auf Ihre Anwendungen, die auf Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator und Amazon Route 53-Ressourcen ausgeführt werden, können Sie AWS Shield Advanced abonnieren. Zusätzlich zu den Schutzmaßnahmen auf Netzwerk- und Transportschicht, die bereits in der Standard-Version enthalten sind, bietet Shield Advanced zusätzliche Erkennung und Abwehr von großen und ausgeklügelten DDoS-Angriffen, nahezu Echtzeit-Transparenz bei Angriffen sowie die Integration mit AWS WAF, einer Webanwendungs-Firewall. Shield Advanced ermöglicht Ihnen außerdem rund um die Uhr den Zugriff auf das AWS Shield Response Team (SRT) sowie Schutz vor DDoS-bedingten Spitzen bei Ihren EC2-, ELB-, CloudFront-, Global Accelerator- und Route 53-Gebühren.

    AWS Shield Advanced bietet eine maßgeschneiderte Erkennung basierend auf Datenverkehrsmustern für Ihre geschützten Elastic IP-Adressen, ELB-, CloudFront-, Global Accelerator- und Route 53-Ressourcen. Mit zusätzlichen regionen- und ressourcenspezifischen Überwachungstechniken erkennt Shield Advanced kleinere DDoS-Angriffe und warnt Sie davor. Shield Advanced erkennt zudem Angriffe auf Anwendungsebene wie HTTP-Floods oder DNS-Abfrage-Floods, indem es den Datenverkehr Ihrer Anwendung als Referenzwert erfasst und Abweichungen identifiziert.

    AWS Shield Advanced nutzt den Zustand Ihrer Anwendungen, um die Reaktionsfähigkeit und Genauigkeit bei der Erkennung und Abwehr von Angriffen zu verbessern. Sie können in Route 53 eine Zustandsprüfung definieren und sie dann über die Konsole oder API mit einer Ressource verknüpfen, die durch Shield Advanced geschützt ist. Dadurch kann Shield Advanced Angriffe, die sich auf den Zustand Ihrer Anwendung auswirken, schneller und bei niedrigeren Schwellenwerten für den Datenverkehr erkennen, die DDoS-Festigkeit Ihrer Anwendung verbessern und falsch-positive Benachrichtigungen verhindern. Auch der Gesundheitszustand der Ressourcen steht dem SRT zur Verfügung, so dass es zunächst die Reaktion auf ungesunde Anwendungen entsprechend priorisieren kann. Sie können die zustandsbasierte Erkennung auf alle von Shield Advanced unterstützten Ressourcentypen anwenden: Elastic IP, ELB, CloudFront, Global Accelerator und Route 53.

     

    AWS Shield Advanced bietet ausgefeiltere automatische Abwehrmaßnahmen für Ereignisse, die Ihre Anwendungen betreffen, die auf geschützten EC2-, ELB-, CloudFront-, Global Accelerator- und Route 53-Ressourcen ausgeführt werden. Mithilfe fortschrittlicher Routing-Techniken erfolgt die Bereitstellung zusätzlicher Abwehrkapazitäten automatisch, um Ihre Anwendung vor DDoS-Ereignissen zu schützen. Für Kunden mit Business- oder Enterprise-Support wendet das SRT zudem manuelle Abwehrmaßnahmen für komplexere und ausgefeiltere DDoS-Ereignisse an, die möglicherweise spezifisch für Ihre Anwendung sind. Für Ereignisse auf Anwendungsebene können Sie die im AWS Shield Advanced-Abonnement enthaltene AWS Managed Rule-Gruppe für den DDoS-Schutz auf Anwendungsebene (L7) von AWS WAF nutzen. Diese Regelgruppe ist darauf ausgelegt, DDoS-Ereignisse auf Anwendungsebene innerhalb von Sekunden automatisch zu erkennen und abzuwehren. Im Rahmen Ihres Abonnements erhalten Sie pro abonniertem Zahlerkonto bis zu 50 Milliarden AWS WAF-Anforderungen pro Kalendermonat für Ressourcen, die durch WAF geschützt sind. Von diesem AMR als DDoS erkannter Datenverkehr wird nicht auf die 50 Milliarden angerechnet, solange er nicht im Zählmodus ist. Anforderungen, die über 50 Milliarden hinausgehen, werden gemäß der AWS Shield Advanced-Fakturierung abgerechnet. Sie können sich auch direkt an das SRT wenden, um in Ihrem Namen benutzerdefinierte AWS WAF-Regeln als Reaktion auf einen DDoS-Angriff auf Anwendungsebene festzulegen. Das SRT diagnostiziert das Ereignis und wendet mit Ihrer Berechtigung in Ihrem Namen Abwehrmaßnahmen an, wodurch die Zeit verkürzt wird, in der Ihre Anwendungen von einem laufenden DDoS-Ereignis beeinträchtigt werden könnten.

     

     

    AWS Shield Advanced kann Webanwendungen automatisch schützen, indem es DDoS-Ereignisse auf Anwendungsebene (L7) abwehrt, ohne dass ein manueller Eingriff Ihrerseits oder seitens des AWS SRT erforderlich ist. AWS WAF-Regeln werden in Ihren WebACLs erstellt, um Ereignisse automatisch abzuwehren, oder Sie können sie im reinen Modus mit begrenzter Anzahl von Ereignissen aktivieren. So können Sie schnell auf DDoS-Ereignisse reagieren und Ausfallzeiten der Anwendung aufgrund von DDoS-Ereignissen auf Anwendungsebene verhindern.

     

    AWS Shield Advanced bietet proaktive Unterstützung durch das SRT, wenn ein DDoS-Ereignis erkannt wird. Wenn Sie die proaktive Unterstützung aktivieren, kontaktiert das SRT Sie direkt, falls eine mit Ihrer geschützten Ressource verknüpfte Route 53-Zustandsprüfung während eines DDoS-Ereignisses einen fehlerhaften Zustand anzeigt. Dies ermöglicht es Ihnen, schneller mit Experten in Kontakt zu treten, wenn die Verfügbarkeit Ihrer Anwendung durch einen vermuteten Angriff beeinträchtigt werden könnte. Sie können proaktive Benachrichtigungen zu Ereignissen auf Netzwerk- und Transportebene für Elastic IP-Adressen und Global Accelerator-Beschleuniger sowie zu Angriffen auf Anwendungsebene für CloudFront-Distributionen und Application Load Balancer erhalten.

    Mit AWS Shield Advanced können Sie Ressourcen zu Schutzgruppen bündeln und so den Umfang der Erkennung und Abwehr für Ihre Anwendung selbstständig anpassen, indem Sie mehrere Ressourcen als eine Einheit behandeln. Das Gruppieren von Ressourcen verbessert die Erkennungsgenauigkeit, verringert Falschmeldungen, erleichtert den automatischen Schutz neu erstellter Ressourcen und beschleunigt die Entschärfung von Angriffen auf mehrere Ressourcen. Falls eine Anwendung zum Beispiel aus vier CloudFront-Distributionen besteht, können Sie diese einer Schutzgruppe hinzufügen, um die Erkennung und Absicherung für die gesamte Ressourcensammlung sicherzustellen. Die Berichterstellung kann auch auf Ebene der Schutzgruppen genutzt werden, wodurch sich ein ganzheitlicherer Überblick über den Gesamtzustand der Anwendung ergibt.

     

    AWS Shield Advanced bietet Ihnen vollständige Transparenz über DDoS-Ereignisse mit Benachrichtigungen nahezu in Echtzeit über Amazon CloudWatch sowie detaillierte Diagnosen in der AWS WAF- und AWS Shield-Konsole oder über APIs. Sie können sich außerdem eine Zusammenfassung früherer Ereignisse über die Konsole anzeigen lassen. Wenn Sie die Managed Rule für DDoS-Schutz auf Anwendungsebene (L7) für AWS WAF verwenden, erhalten Sie in der AWS WAF-Konsole Einblick in die DDoS-Ereignisse, die durch diese Regelgruppe geschützt werden.

     

    AWS Shield Advanced umfasst einen DDoS-Kostenschutz, der vor Skalierungskosten schützt, die durch DDoS-bedingte Nutzungsspitzen bei geschützten EC2-, ELB-, CloudFront-, Global Accelerator- und Route 53-Ressourcen entstehen. Sollte eine dieser geschützten Ressourcen als Reaktion auf einen DDoS-Angriff hochskaliert werden, können Sie über Ihren üblichen AWS Support-Kanal Anträge für Gutschriften für den Shield Advanced-Service stellen.

    Für Kunden mit Business- oder Enterprise-Supportplänen bietet AWS Shield Advanced rund um die Uhr die Möglichkeit, zum SRT zuzugreifen, der vor, während oder nach einem DDoS-Angriff hinzugezogen werden kann. Das SRT hilft Ihnen bei der Einstufung der Vorfälle, der Ermittlung der Ursachen und der Durchführung von Abhilfemaßnahmen in Ihrem Namen. Das SRT verfügt über fundiertes Fachwissen in der schnellen Reaktion auf und Abwehr von DDoS-Angriffen bei AWS-Kunden.

    AWS Shield Advanced ist weltweit an allen CloudFront-, Global-Accelerator- und Route 53-Edge-Standorten verfügbar. Sie können Ihre weltweit gehosteten Webanwendungen durch die Bereitstellung von CloudFront vor der Anwendung schützen. Bei den Ursprungs-Servern kann es sich um Amazon Simple Storage Service (S3)-, EC2-, ELB- oder einen benutzerdefinierten Server außerhalb von AWS handeln. Sie können Schutzmaßnahmen auch direkt auf Elastic IP- oder ELB-Instances in allen AWS-Regionen aktivieren, in denen Shield Advanced verfügbar ist.

    Kunden von AWS Shield Advanced können AWS Firewall Manager nutzen, um die Schutzfunktionen von Shield Advanced und AWS WAF unternehmensweit einzusetzen. Die Kosten für Firewall Manager sind in der Shield Advanced-Abonnementgebühr enthalten. Mit Firewall Manager können Sie automatisch Richtlinien für mehrere Konten und Ressourcen konfigurieren. Firewall Manager prüft Konten automatisch, um neue oder ungeschützte Ressourcen zu finden, und stellt sicher, dass die Shield Advanced- und AWS WAF-Schutzmechanismen universell angewendet werden. Dadurch können Entwickler zügig vorgehen und neue Anwendungen bereitstellen, wobei sie Vertrauen haben, dass die entsprechenden Schutzmaßnahmen automatisch angewendet werden. Mehr über diesen Sicherheitsmanagement-Service erfahren Sie unter AWS Firewall Manager.

AWS Shield Network Security Director (Vorschau)

Alles öffnen

    Verschaffen Sie sich einen umfassenden Überblick über Ihre AWS-Umgebung mithilfe einer Netzwerktopologie, die Ressourcenverbindungen, Sicherheitskonfigurationen und potenzielle Sicherheitsprobleme auf einen Blick anzeigt. Diese Ansicht gruppiert Ressourcen nach Tags und Konnektivitätsmustern und hilft Ihnen, die Beziehungen zwischen Ressourcen und ihrer Exposition im Internet zu verstehen. So können Sie kritische Sicherheitsprobleme schnell identifizieren, von übermäßig großzügigen Berechtigungen bis hin zum Schutz von Anwendungen vor Bedrohungen wie SQL-Injection.

    Ressourcen wird auf der Grundlage ihrer schwerwiegendsten Netzwerksicherheitserkenntnisse ein Schweregrad zugewiesen, damit Sie besser nachvollziehen können, welche Ressourcen in Ihrer Umgebung entsprechend ihrem Netzwerkkontext sowie den AWS-Best-Practices und Bedrohungsinformationen korrekt konfiguriert sind. Die Erkenntnisse werden in einem Dashboard nach Schweregrad priorisiert, damit Sie leicht erkennen können, welche Konfigurationsprobleme Ihre sofortige Aufmerksamkeit erfordern.

    Beheben Sie Fehlkonfigurationen der Netzwerksicherheit schnell mithilfe empfohlener Services und Regelsätze, um jede Erkenntnis zu beheben. Die Empfehlungen werden als Schritt-für-Schritt-Anleitungen bereitgestellt.

    Analysieren Sie Ihre Netzwerksicherheitsprobleme in natürlicher Sprache mit dem AWS Shield Network Security Director direkt in Amazon Q Developer. Mit Amazon Q können Sie Fragen zu Netzwerksicherheitserkenntnissen stellen, Probleme untersuchen und Empfehlungen zur Behebung über die AWS-Managementkonsole und Chat-Anwendungen erhalten.

DDoS-Schutz auf Anwendungsebene (L7)

Alles öffnen

    Der DDoS-Schutz auf Anwendungsebene (L7) ist eine von AWS verwaltete Regelgruppe, die darauf ausgelegt ist, Anwendungen innerhalb von Sekunden automatisch vor Distributed-Denial-of-Service-Ereignissen (DDoS) zu schützen. Dieses Feature überwacht die Daten des Datenverkehrs, um innerhalb weniger Minuten nach der Aktivierung eine Basislinie zu ermitteln, und nutzt anschließend Machine-Learning-Modelle, um Abweichungen vom normalen Datenverkehrsmuster zu erkennen. Wenn der Datenverkehr die festgelegte Basislinie überschreitet oder davon abweicht, wendet das System automatisch Regeln an, die dazu dienen, böswillige Anforderungen zu blockieren. Dieses Feature soll sicherstellen, dass Ihre Anwendungen auf Amazon CloudFront, Application Load Balancer und API Gateway auch bei auftretenden DDoS-Ereignissen verfügbar bleiben.

    Mit dem DDoS-Schutz auf Anwendungsebene (L7) können Sie Ihre Anwendungen schützen, ohne Regeln manuell konfigurieren und verwalten zu müssen. Dieses Feature bietet anpassbare Optionen, um den Anforderungen Ihrer Anwendungen gerecht zu werden, wie z. B. die Konfiguration von Empfindlichkeitseinstellungen für Regeln und die Überprüfung spezifischer Anwendungs-URI-Pfade.

    Weitere Informationen zum DDoS-Schutz auf Anwendungsebene (L7).

    Entwickelt, um neu auftretende DDoS-Ereignisse auf Anwendungsebene innerhalb von Sekunden abzuwehren

    AWS Managed Rules für AWS WAF sind bereits konfiguriert, um Ihnen Zeit zu sparen

    Passen Sie Ihre Layer-7-DDoS-Abwehr mithilfe von Empfindlichkeitssteuerungen an Ihre Anwendung an