Blog
DDoS, Hacker & Bot-Attacken – Angriffsabwehr in der AWS-Cloud
Jeder zweite Mittelständler fürchtet sich einer Studie der Gothaer Versicherung aus dem Jahr 2021 zufolge am meisten vor einem Cyberangriff. Zeitgleich gehören Angriffe immer mehr zur Tagesordnung: Datenlecks durch gezielte Hackangriffe, Systemausfälle durch DDoS-Attacken oder unnötige Kosten durch Bad Bots – die Varianten von Angriffen sind vielfältig – das Risiko groß.
Viele Unternehmen sprechen uns daher auf Sicherheitslösungen an, die wir im Rahmen unseres Managed AWS Hostings anbieten. In diesem Artikel geben wir Ihnen eine Übersicht über die AWS Security Services: AWS Web Application Firewall (WAF), AWS Shield und Amazon GuardDuty.
AWS WAF (Web Application Firewall)
Mit der AWS WAF lässt sich der Datenverkehr der Webanwendung direkt kontrollieren und ungewollter Traffic über individuelle Sicherheitsregeln blockieren. Für die Regeln nutzen wir derzeit zwei der AWS Konzepte: Security Automations und Managed Rules. Letzteres sind über den AWS Marketplace erhältlich und funktionieren wie Plugins für die AWS WAF. Es gibt Managed Rules von F5, CSC (Cyber Security Cloud), Fortinet oder Trend Micro. Diese Regeln werden durch die Anbieter aktuell gehalten, sind aber nicht anpassbar. Somit eignen sie sich vor allem dann, wenn spezifische Szenarien wie z.B. Sicherheit nach OWASP-Standard abgedeckt werden sollen.
Bei der Variante der Security Automations wird ebenfalls automatisch eine Reihe an WAF-Regeln bereitgestellt. Dennoch ist es möglich maßgeschneiderte, anwendungsspezifische Regeln zu erstellen. Bei Skaylink werden diese gemeinsam mit unserem Enablement-Team festgelegt. In der Regel wird der Datenverkehr erst einmal protokolliert und danach analysiert, was davon gesperrt werden kann.
Die AWS WAF verfügt seit kurzem außerdem über das Feature “AWS WAF Bot Control”, welches das Monitoring und Sperren von unerwünschtem Bot Traffic ermöglicht. Mehr zu Bad Bots erfahrt ihr in unserem Beitrag: Bad Bots – Probleme, Auswirkungen & Lösungsansätze.
AWS Shield
AWS Shield ist ein DDoS-Schutz und wird in zwei Varianten angeboten: Standard und Advanced. AWS Shield Standard steht jedem AWS-Kunden kostenfrei zur Verfügung. Es schützt vor den gängigsten DDoS-Angriffen, welche in den Schichten 3 oder 4 des Network Stacks stattfinden. AWS Shield Advanced bietet die Erkennung und Abschwächung hoch entwickelter DDoS-Angriffe, sowie Echtzeitvisualisierung. Weiterhin bietet es ununterbrochenen Zugriff auf das AWS DDoS Response Team (DRT) und Schutz vor DDoS-Spitzen. Im AWS Shield Advanced ist die AWS WAF bereits enthalten. Das Shield Advanced ist mit einer Mindestvertragslaufzeit von einem Jahr und einer monatlichen Gebühr von 3.000$ mit einer der teuersten Services von AWS.
Amazon GuardDuty
Amazon GuardDuty überwacht den kompletten AWS-Account, die Workloads und gespeicherte Daten auf böswillige Aktivitäten und unbefugtes Verhalten. Die Funktionsweise kann man sich analog einer Antivirus-Software eines PCs vorstellen. Bei Auffälligkeiten sendet der Service einen Alarm und das Skaylink Service-Team tritt bei einem berechtigten Alarm in Kontakt mit euch, um die weiteren Schritte abzustimmen. GuardDuty kommt üblicherweise bei Infrastrukturen zum Einsatz, welche sehr hohe Sicherheitsanforderungen z.B. solche die eine PCI-DSS Zertifizierung mit sich bringen. Das Pricing von GuardDuty ist von den analysierten Cloud-Trail Ereignissen abhängig und somit sehr individuell. Einige Preisbeispiele findet ihr direkt bei AWS.
Fazit
Mit den verschiedenen AWS Security Services kann man zügig ein hohes Sicherheitsniveau erreichen und sich vor Angriffen schützen. Welche Services beim eigenen Geschäftsmodell Sinn ergeben, lässt sich am besten in einem individuellen Beratungsgespräch erklären. Außerdem darf man nicht vergessen – das beste Tool ist nichts wert, wenn niemand Auffälligkeiten erkennt oder auf Alarme reagiert. Eine Zusammenarbeit mit einem kompetenten und spezialisierten Partner ist daher empfehlenswert.