pickup adobe
Wie man sich vor DDoS-Angriffen aus der Cloud schützt
Mit Cloud-DDoS-Schutz können Unternehmen DDoS-Angriffe erkennen und abwehren, bevor sie zu Ausfallzeiten, Infrastrukturproblemen und Störungen im Geschäftsbetrieb führen.
Viele Unternehmen sind nach wie vor mit DDoS-Angriffen (Distributed Denial-of-Service) konfrontiert, die zu einer Unterbrechung der Geschäftsanwendungen und -dienste in der Cloud führen. Böswillige Akteure initiieren häufig DDoS-Angriffe, um Netzwerke, Systeme und Anwendungen mit mehr Datenverkehr, Verbindungen oder Anfragen zu überfluten, als sie bewältigen können. Der DDoS-Schutz in der Cloud ist ein Muss, um die Kontinuität und Widerstandsfähigkeit von Netzwerken und Anwendungen zu gewährleisten.
In dem Maße, in dem Unternehmen in die Cloud migrieren und sich zunehmend auf Cloud-Dienste verlassen, erkennen sie die zusätzliche Bedrohung durch DDoS in Cloud-Service-Umgebungen. Diese Bedrohungen sind ähnlich wie in herkömmlichen lokalen Umgebungen, unterscheiden sich aber in zweierlei Hinsicht. Erstens können DDoS-Angriffe in der Cloud zu höheren Kosten führen, da die Nutzung von Cloud-Diensten zunimmt. Zweitens benötigen viele Teams mehr Unterstützung von Cloud-Service-Anbietern (CSP, Cloud Service Provider) als bei der herkömmlichen DDoS-Reaktion, die sich auf eine Kombination aus interner und ISP-Reaktion (Internet Service Provider) stützen kann.
Grund genug, einmal näher zu betrachten, welchen DDoS-Schutz Cloud Service Provider bieten und worauf Unternehmen achten sollten, um die Auswirkungen eines Angriffs auf ihren Geschäftsbetrieb so gering wie möglich zu halten.
Welchen DDoS-Schutz die Cloud-Anbieter bereitstellen
Um DDoS-Bedrohungen aus der Cloud zu begegnen, bieten führende Cloud-Anbieter DDoS-Schutzdienste an, mit denen Cloud-Konten und -Tenants in einer vollständig nativen und integrierten Lösung geschützt werden können. AWS bietet seinen AWS Shield-Service für DDoS-Schutz an, während Microsoft Azure Azure DDoS Protection anbietet und Google Cloud den Cloud Armor DDoS-Schutzservice hat.
Während CSPs einen grundlegenden DDoS-Schutz kostenlos anbieten, sind die meisten weitergehenden Dienste, wie beispielsweise maßgeschneiderte Datenverkehrskontrollen und Unterstützung bei Zwischenfällen, mit zusätzlichen Kosten verbunden. Die Standardpläne der Anbieter sind für alle Kunden inbegriffen und schützen vor den häufigsten DDoS-Angriffen auf Netzwerk- und Transportebene, die auf Websites und Anwendungen abzielen.
Die erweiterten Pläne bieten jedoch zusätzliche Funktionen, darunter die folgenden:
- Zusätzliche Kapazität für große DDoS-Ereignisse.
- Native Integration mit Web Application Firewalls (WAFs) und anderen Netzwerksicherheitskontrollen.
- Forensische und historische Berichterstattung.
- Unterstützung durch die Notfallteams des CSP.
- Begrenzter Kostenschutz für Kosten, die während eines Angriffs entstehen.
Als äußerste Schicht eines Defense-in-Depth-Netzwerkschutzmodells können Cloud-DDoS-Schutzdienste dazu beitragen, die Verfügbarkeit und Widerstandsfähigkeit der gesamten Cloud-Netzwerkinfrastruktur zu verbessern. Einige Unternehmen entscheiden sich für eine DDoS-Abdeckung durch Content-Delivery-Network-Anbieter (CDN) wie Cloudflare und Akamai. Aber der Cloud-native DDoS-Schutz wird immer besser, und immer mehr Unternehmen betrachten diese Dienste als praktikable Option.
Worauf ist bei einem Cloud-basierten DDoS-Abwehrdienst zu achten?
Da es viele verschiedene Arten von DDoS-Erkennungs- und -Minderungsdiensten gibt, sind die Optionen der Anbieter sehr unterschiedlich. Wenn Sie einen Cloud-basierten DDoS-Anbieter in Betracht ziehen, sollten Sie auf Folgendes achten:
- Kosten. Einige Dienstanbieter berechnen eine monatliche Pauschalgebühr und zusätzliche Kosten für die Schadensbegrenzung und -beseitigung. Andere berechnen die Kosten für den Umfang des Traffic Bursting, die in Anspruch genommenen Dienste und die Anzahl der abgedeckten Standorte und Dienste.
- Erfahrung des Anbieters. Einige Anbieter, wie beispielsweise Akamai, bekämpfen DDoS-Angriffe schon seit vielen Jahren, während andere vielleicht neuer sind und weniger Erfahrung in diesem Bereich haben. Das Alter eines Anbieters sagt nichts darüber aus, ob er für ein Unternehmen effektiv sein wird. Fragen Sie jedoch nach Kundenreferenzen und Beispielen, in denen der Anbieter verschiedene Arten von Angriffen erfolgreich abgewehrt hat.
- Fähigkeiten und Merkmale. Unternehmen sollten nach einer DDoS-Abwehr suchen, die mehr als volumetrische Angriffe abdeckt. Diese sind zwar am weitesten verbreitet, aber es gibt auch andere Arten von Angriffen, die auf die Anwendungsschicht und Protokolle abzielen. Jeder DDoS-Abwehrdienst der Unternehmensklasse sollte in der Lage sein, einige Varianten aller Angriffe zu bewältigen. Darüber hinaus bieten viele Dienste Management-Tools, Berichts-Dashboards, Informationen über Bedrohungen und zusätzliche Untersuchungen an.
- Reaktionsfähigkeit und Erfahrung. Response-Service-Level-Vereinbarungen sind wichtig, ebenso wie Erfahrung. Unternehmen sollten sicherstellen, dass die DDoS-Reaktionsdienste mit erfahrenen Analysten besetzt sind, die bereits Erfahrung mit der Abwehr groß angelegter und ausgefeilter DDoS-Angriffe haben.
DDoS-Angriffe wird es auch in Zukunft geben, unabhängig davon, ob sie kriminellen Absichten, politischen Motiven oder anderen Zielen entspringen. Gleichzeitig nehmen Schwere und Raffinesse dieser Angriffe weiter zu, und viele Unternehmen sind nicht gut auf sie vorbereitet.
Die Nutzung eines Cloud-basierten DDoS-Abwehrdienstes kann sich als wirksame Sicherheitskontrolle zur Verhinderung, Erkennung und Reaktion auf diese Angriffe erweisen, unabhängig davon, ob ein Unternehmen über einen lokalen Schutz verfügt oder nicht. Für den Schutz von IaaS- und PaaS-Ressourcen sind die in den Umgebungen der jeweiligen Anbieter verfügbaren Dienste oft eine erschwingliche und leistungsfähige Option, die in Betracht gezogen werden sollte.
