So wählen Sie zwischen AWS Shield, WAF und Firewall Manager

Was ist AWS Shield?

AWS Shield schützt AWS-Komponenten vor DDoS-Angriffen. Diese Angriffe erzeugen eine große Anzahl künstlich generierter Anfragen, um öffentliche Anwendungen zu stören. Shield ist in zwei Ausführungen erhältlich: Standard und Advanced.

AWS Shield Standard

AWS Shield Standard ist standardmäßig in CloudFront, Route 53 und Global Accelerator ohne zusätzliche Kosten aktiviert.

AWS Shield Standard bietet Schutz vor bestimmten Angriffen, lässt jedoch keine Flexibilität für benutzerdefinierte Konfigurationen zu. Shield Advanced lässt sich in den AWS WAF-Dienst integrieren, um spezifische Schutzregeln zu konfigurieren. Es schützt auch vor zusätzlichen AWS-Gebühren, die aufgrund einer erhöhten Nutzung infolge eines DDoS-Angriffs anfallen könnten. Betroffene Kunden können Gutschriften beantragen.

AWS Shield Advanced

AWS Shield Advanced ist für CloudFront, Route 53 und Global Accelerator sowie für ELB, Elastic IPs und EC2 verfügbar. AWS Shield Advanced kostet 3.000 US-Dollar pro Monat und erfordert eine einjährige Abonnementverpflichtung. Es bietet Zugang zum AWS Shield Response Team, einer rund um die Uhr verfügbaren Support-Gruppe für Notfälle, jedoch nur für AWS-Konten, die auch über AWS Premium Support mit Enterprise- oder Business-Support-Levels verfügen. Dabei handelt es sich um Support-Pläne, für die je nach monatlicher AWS-Rechnung zusätzliche Kosten anfallen.

Es fällt eine zusätzliche Datenübertragungsgebühr an, die je nach Art der geschützten Ressource und der übertragenen Datenmenge variiert. Die Datenübertragungsgebühr für Shield Advanced liegt beispielsweise für CloudFront für die ersten 100 Terabyte 0,025 US-Dollar pro Gigabyte pro Monat an. Die monatliche Gebühr gilt pro AWS-Organisation. Daher würde für Bereitstellungen über mehrere AWS-Konten innerhalb einer Organisation nur eine einzige Gebühr anfallen.

Während Shield Standard vor Angriffen auf den Schichten 3 und 4 schützt, erweitert Shield Advanced die Anzahl der unterstützten AWS-Dienste und lässt sich in WAF integrieren, um Schutz vor Angriffen auf Schicht 7 zu bieten.

Was ist AWS WAF?

Der Web Application Firewall-Dienst konzentriert sich auf den Schutz der Schicht 7. Die konfigurierbaren Funktionen von WAF erkennen und blockieren in Echtzeit bestimmte Datenverkehrsmuster, die versuchen, auf Ihre Anwendung zuzugreifen. Der Dienst interagiert mit CloudFront-Verteilungen, Application Load Balancers, Cognito-Benutzerpools, AWS Verified Access-Instanzen, AppSync GraphQL-APIs und API Gateway REST APIs. Eine WAF kann so konfiguriert werden, dass sie Datenverkehr aus folgenden Quellen erkennt:

• Bestimmte IPs.
• Cross-Site-Scripting.
• SQL-Injection-Angriffe.
• IP-Bereiche oder Herkunftsland.
• IPs, die ratenbasierte Regeln überschreiten.
• Inhaltsmuster in Request-Bodies, Pfaden, JA3/JA4-Fingerabdrücken, Abfragen, Headern und Cookies.

Mit Firewall Manager können Anwendungsbesitzer Regeln konfigurieren, die für alle Konten innerhalb einer AWS-Organisation gelten. Wenn eingehender Datenverkehr mit einer der konfigurierten Regeln übereinstimmt, kann WAF Anfragen ablehnen, benutzerdefinierte Antworten zurückgeben oder einfach Metriken erstellen, um die entsprechenden Anfragen zu überwachen. Zusätzliche Regeln sind auch im AWS Marketplace verfügbar.

WAF berechnet 5 US-Dollar pro Monat pro Web-Zugriffskontrollliste (ACL) und 1 US-Dollar pro Monat pro konfigurierter Regel in der Web-ACL. Eine Web-ACL kann mit mehreren Ressourcen verknüpft werden. Weitere Informationen finden Sie in der Dokumentation.

WAF berechnet 0,60 USD pro 1 Million Anfragen. Eine Anwendung, die beispielsweise 10 Anfragen pro Sekunde verarbeitet, kostet etwa 15 USD pro Monat. Berücksichtigen Sie außerdem alle Kosten, die sich aus der Anzahl der Regeln und Web-ACLs ergeben.

Es hat drei Hauptfunktionen:

AWS WAF Bot Control. Es bietet Regeln, die sich auf die Identifizierung und Bekämpfung von Anfragen konzentrieren, die den von weit verbreiteten Bots häufig verwendeten Mustern entsprechen. Es kann auch so konfiguriert werden, dass Datenverkehr von Suchmaschinen oder Tools zur Überwachung des Betriebszustands zugelassen wird. Für gewöhnlichen Bot-Datenverkehr kostet es 1 US-Dollar pro Million ausgewerteter Anfragen. Für Regeln, die auf bestimmte Bots abzielen, kostet es 10 US-Dollar pro Million geprüfter Anfragen.

AWS WAF Fraud Control. Diese Funktion schützt Anmelde- und Benutzererstellungsseiten vor betrügerischen Anfragen. Fraud Control kann 1.000 US-Dollar pro Million analysierter Anfragen für Bereitstellungen mit 10.000 bis 2 Millionen Anfragen pro Monat kosten.

DDoS-Schutz. Wie der Name schon sagt, verhindert dieses Tool Distributed-Denial-of-Service-Angriffen auf Layer 7. Der Dienst kostet für Web-ACL 20 US-Dollar pro Monat und für Anfragen 0,15 US-Dollar pro eine Million anfragen

Sowohl Bot Control als auch Fraud Control unterstützen die Konfiguration von Regeln, die CAPTCHA-Herausforderungen anzeigen. Diese Herausforderungen verursachen zusätzliche Kosten in Höhe von 4 US-Dollar pro 10.000 analysierten Versuchen für Bot Control Common, während für Bot Control Targeted und Fraud Control keine zusätzlichen Kosten anfallen.

Was ist AWS Firewall Manager?

AWS Firewall Manager ist für die zentralisierte Verwaltung mehrerer AWS-Konten und -Ressourcen vorgesehen. Es unterstützt die folgenden Dienste:

• WAF.
• Shield Advanced.
• Netzwerk-Firewall.
• VPC-Sicherheitsgruppen.
• Route 53 Resolver DNS-Firewall.

Mit Firewall Manager können Anwendungsbesitzer Regeln konfigurieren, die für alle Konten gelten. Besitzer können Regeln für alle Ressourcen eines bestimmten Typs innerhalb eines Kontos oder einer Organisation konfigurieren, zum Beispiel die Anwendung von Regeln auf alle CloudFront-Verteilungen. Es unterstützt auch die Anwendung von Konfigurationen basierend auf Ressourcen-Tags. Wenn Sie einem Konto neue Ressourcen hinzufügen, können Sie diesen automatisch bestimmte Schutzregeln zuweisen, was die Sicherheit erhöht, indem die Konfiguration wichtiger Schutzfunktionen für mehrere AWS-Ressourcen in einem oder mehreren AWS-Konten vereinfacht und automatisiert wird.

Große Organisationen haben manchmal Schwierigkeiten, ihre wachsende Anzahl von Konfigurationen und Ressourcen zu schützen. Firewall Manager hilft dabei. Die Kosten betragen 100 US-Dollar pro Monat und konfigurierter Richtlinie pro Region. Berücksichtigen Sie außerdem alle Kosten im Zusammenhang mit den erstellten Ressourcen, wie beispielsweise WAF-WebACLs, WAF-Regeln oder AWS-Config-Regeln. Kunden mit Shield Advanced können Firewall Manager ohne zusätzliche Kosten pro Richtlinie konfigurieren.

Die Kombination von AWS Shield Standard und WAF ist eine gute Option für kleine oder mittlere Bereitstellungen. AWS Shield Advanced und Firewall Manager sind zusammen mit WAF eine geeignete Option für große Bereitstellungen.

So entscheiden Sie, welches Tool das richtige ist

Obwohl alle drei Cloud-Sicherheitsdienste sehr wichtige Funktionen für die meisten AWS-Cloud-Bereitstellungen bieten, ist es wichtig zu prüfen, ob sie für bestimmte Anwendungsanforderungen geeignet sind. Geschützte OSI-Schichten sind ein wichtiger Bereich, der bewertet werden muss, ebenso wie die erforderlichen Dienste zum Schutz einer bestimmten Anwendung.

Auch die Kosten sind ein wichtiger Faktor, insbesondere bei AWS Shield Advanced, da hier eine monatliche Gebühr von 3.000 US-Dollar anfällt und eine Mindestlaufzeit von einem Jahr erforderlich ist. Große Unternehmen mit zahlreichen Konten und Cloud-Ressourcen sollten einen Dienst wie Firewall Manager in Betracht ziehen, da dieser die Verwaltung vieler Cloud-Komponenten vereinfacht.

Angesichts der hohen Priorität, die Sicherheit in modernen Cloud-Bereitstellungen hat, wird dringend empfohlen, diese AWS-Sicherheitsdienste zu evaluieren und entsprechend den spezifischen Anwendungs- und Compliance-Anforderungen zu konfigurieren.