So funktionieren AWS Shield und Shield Advanced

AWS Shield Standard und AWS Shield Advanced bieten Schutz vor Distributed-Denial-of-Service-Angriffen (DDoS) für AWS Ressourcen auf der Netzwerk- und Transportebene (Schicht 3 und 4) sowie auf der Anwendungsebene (Schicht 7). Ein DDoS-Angriff ist ein Angriff, bei dem mehrere kompromittierte Systeme versuchen, ein Ziel mit Datenverkehr zu überfluten. Ein DDoS-Angriff kann legitime Endbenutzer am Zugriff auf die Zieldienste hindern und das Ziel aufgrund des überwältigenden Datenverkehrs zum Absturz bringen.

AWS Shield bietet Schutz vor einer Vielzahl bekannter DDoS-Angriffsvektoren und Zero-Day-Angriffsvektoren. Shield Detection and Mitigation wurde entwickelt, um Bedrohungen abzuwehren, auch wenn sie dem Dienst zum Zeitpunkt der Entdeckung nicht ausdrücklich bekannt waren. Shield Standard wird automatisch und ohne Aufpreis bereitgestellt, wenn Sie es verwenden AWS.

Zu den Kategorien von Angriffen, die Shield erkennt, gehören:

• Volumetrische Netzwerkangriffe (Schicht 3) — Dies ist eine Unterkategorie von Angriffsvektoren auf Infrastrukturebene. Diese Vektoren versuchen, die Kapazität des Zielnetzwerks oder der Zielressource zu überlasten, um legitimen Benutzern den Dienst zu verweigern.

• Netzwerkprotokollangriffe (Schicht 4) — Dies ist eine Unterkategorie von Angriffsvektoren auf Infrastrukturebene. Diese Vektoren missbrauchen ein Protokoll, um der Zielressource den Zugriff zu verweigern. Ein häufiges Beispiel für einen Netzwerkprotokollangriff ist eine TCP-SYN-Flood, die den Verbindungsstatus von Ressourcen wie Servern, Load Balancern oder Firewalls erschöpfen kann. Ein Netzwerkprotokollangriff kann auch volumetrisch sein. Eine größere TCP-SYN-Flut könnte beispielsweise darauf abzielen, die Kapazität eines Netzwerks zu überlasten und gleichzeitig den Status der Zielressource oder der Zwischenressourcen zu erschöpfen.

• Angriffe auf Anwendungsebene (Schicht 7) — Diese Kategorie von Angriffsvektoren versucht, legitimen Benutzern den Dienst zu verweigern, indem eine Anwendung mit Abfragen überflutet wird, die für das Ziel gültig sind, wie z. B. Fluten von Webanfragen.

Inhalt

• AWS Shield Standard Überblick
• AWS Shield Advanced Überblick
  • AWS Shield Advanced geschützte Ressourcen
  • AWS Shield Advanced Fähigkeiten und Optionen
  • Entscheidung, ob zusätzliche Schutzmaßnahmen abonniert AWS Shield Advanced und angewendet werden sollen
• Beispiele für DDoS-Angriffe
• Wie AWS Shield erkennt man Ereignisse
  • Erkennungslogik für Bedrohungen auf Infrastrukturebene
  • Erkennungslogik für Bedrohungen auf Anwendungsebene
  • Erkennungslogik für mehrere Ressourcen in einer Anwendung
• Wie AWS Shield mindert man Ereignisse
  • Funktionen zur Schadensbegrenzung
  • AWS Shield Mitigationslogik für CloudFront und Route 53
  • AWS Shield Minderungslogik für Regionen AWS
  • AWS Shield Risikominderungslogik für AWS Global Accelerator Standardbeschleuniger
  • AWS Shield Advanced Schadensbegrenzungslogik für Elastic IPs
  • AWS Shield Advanced Schadensbegrenzungslogik für Webanwendungen