Webanwendungen schützen mit AWS Web Application Firewall und Shield (3)

Lesezeit
3 Minuten
Bis jetzt gelesen

Webanwendungen schützen mit AWS Web Application Firewall und Shield (3)

17.02.2025 - 07:00
Veröffentlicht in:

Wer als Unternehmen eine Webseite oder -anwendung betreibt, muss sich meist früher als später mit Angriffen auseinandersetzen. Bei deren Abwehr spielen neben einem umfassenden Sicherheitskonzept Schutzdienste auf Perimeter-Ebene eine entscheidende Rolle. Sie prüfen Verbindungen an erster Stelle, verifizieren sie und weisen sie gegebenenfalls ab. AWS hat hierzu WAF und Shield im Portfolio. Im dritten Teil dreht sich alles um AWS Shield und wie Sie damit DDoS-Angriffe zurückschlagen und Webanwendungen absichern.

DoS steht für Denial of Service. Ein Angreifer sendet dabei übermäßig Anforderungen an eine Anwendung, die dadurch so stark beansprucht wird, dass sie ihren eigentlichen Zweck nicht mehr erfüllen kann. Das weitere D bei DDoS steht für "Distributed". Anstatt die Attacke von nur einer Quelle durchzuführen, nutzt der Angreifer mehrere Ausgangspunkte. Im Internet sind dies oftmals Botnetze aus kompromittierten Endgeräten. In der AWS-Cloud profitieren alle Kunden von dem Schutz durch AWS Shield. Dieser Service schützt sowohl Infrastruktur und Services von AWS als auch Kunden. Ziel von Shield ist es, jeden erkennbaren DDoS-Angriff auf AWS-Infrastruktur abzuwehren.

DDoS-Angriffe zurückschlagen
Botnetze, häufig bestehend aus einfacheren Internetgeräten (Router, IP-Kameras, Smart-TVs et cetera), kommen oft für Angriffe auf Infrastrukturebene zum Einsatz. Bei TCP-Diensten findet dabei der SYN-Flood-Angriff Verwendung: Beim TCP-Drei-Wege-Handschlag werden Verbindungen vom Client durch ein SYN-Paket eröffnet. Der Server hält die Information über die Verbindung und antwortet mit einem SYN-ACK Paket, auf das der Client wiederum mit dem ACK-Paket reagiert, zusammen mit der initiierten Datenübertragung.

Beim SYN-Flood-Angriff sendet der Botclient lediglich das initiale SYN-Paket und nicht mehr. Der Server, dem Protokoll folgend, hält die Verbindungsinformation in Erwartung eines ACK-Pakets, das jedoch niemals kommt. Läuft dieser Angriff nun durch ein verteiltes Botnetz gegen eine kleine Anzahl an Zielhosts, sind deren Netzwerk-Stacks schnell überwältigt und nicht mehr fähig, ihre Arbeit wie gewohnt zu verrichten – es kommt zu einem Denial of Service.

Bild 2: Bei einer SYN-Flood Attacke kann der angegriffene Dienst wegen Überlastung nicht mehr ordnungsgemäß antworten.
Bild 2: Bei einer SYN-Flood Attacke kann der angegriffene Dienst wegen Überlastung nicht mehr ordnungsgemäß antworten.
 

Ein solcher Angriff lässt sich zwar durch Einsatz von SYN-Cookies oder SYN-Proxies entschärfen, beide Methoden bringen jedoch Nachteile beziehungsweise oftmals unverhältnismäßigen Aufwand mit sich. Ähnlich ist es mit anderen Angriffsmustern. Nicht selten vertrauen Betreiber von Diensten im Internet daher den Schutz vor DDoS einem spezialisierten Dienstleister an.

Hierbei ist jedoch zu beachten, dass die meisten Cloudanbieter nach dem Modell der geteilten Verantwortung (Shared Responsibility) operieren. Das bedeutet im konkreten Fall: Während AWS für die Sicherheit der Cloud zuständig ist, übernehmen Kunden die Verantwortung für die eigenen Workloads in der Cloud. AWS Shield ist in erster Linie darauf ausgelegt, AWS und alle Kunden vor DDoS Angriffen und deren Auswirkungen zu schützen – nicht darauf, einen DDoS-Angriff auf eine einzelne Workload eines Nutzers schnellstmöglich abzufangen.

Möchte ein Unternehmen für seine Workloads also einen Schutz mit erhöhter Aufmerksamkeit und verkürzter Reaktionszeit, kann er den Dienst "AWS Shield Advanced" in Anspruch nehmen. Nutzer können in dieser Servicevariante Endpunkte für elastische-IP-Adressen, Elastic Loadbalancing, Amazon CloudFront und AWS Global Accelerator definieren, die dann besonders geschützt werden. Neben verbesserter Anomalierkennung und Mitigationszeit steht Nutzern dabei ein 24/7-Shield-Response-Team mit Sicherheitsspezialisten zur Seite.

Webanwendungen absichern
Angriffe auf Webanwendungen können voluminös ausfallen, aber auch recht unscheinbar durch eine erhöhte Menge "teurer" Requests entstehen. Möglich ist zum Beispiel ein ungesicherter Endpunkt einer API, der eine Schreibaktion in einer relationalen Datenbank bewirkt. Ist hier keine Entkopplungsschicht zwischen der Anwendung und der Datenbank etabliert, kann ein Angreifer durch eine hohe Anzahl von Requests die Datenbank überlasten. Solche Angriffe sind theoretisch von einzelnen Quellen machbar, jedoch macht die verteilte Aufstellung von Angriffsquellen die Erkennung und Mitigation deutlich schwieriger.

Auch hier kann AWS WAF zum Einsatz kommen: Da der Service unabhängig von der zu schützenden Komponente (zum Beispiel Application Load Balancer) skaliert, ist er bestens für das Absichern gegen voluminöse Angriffe gewappnet. Durch gezielte, sogenannte "rate-based"-Regeln lassen sich DDoS Angriffe mit AWS WAF effektiv abschwächen. Zu beachten ist hier die Preisgestaltung des Diensts, der nach der Anzahl an Requests bepreist wird.

Fängt ein Unternehmen also einen großen DDoS-Angriff mit AWS WAF ab, können nicht zu vernachlässigende Kosten entstehen. Und hier kommt wieder AWS Shield Advanced ins Spiel, denn dadurch sind auch die WAF-Kosten abgedeckt. Viele Kunden entscheiden sich deshalb für diese Kombination eines umfassenden DDoS-Schutzes. Shield Advanced bietet ferner die Option, Angriffe auf Anwendungen selbstständig zu erkennen und auf Wunsch automatisiert zu behandeln. Hier steht Nutzern auf Wunsch wieder das Shield-Response-Team zur Seite.

Best Practices gegen DDoS Die native Nutzung der AWS-Cloud sieht vor, jederzeit Ressourcen nach Bedarf bereitzustellen. So kann es gelingen, schon durch Automatisierung auf allen Ebenen DDos-Angriffe erfolgreich abzufangen, indem die Infrastruktur, der Attacke folgend, automatisiert skaliert. Nichts wirkt gegen verteilte Angriffe besser als eine verteilte Infrastruktur: Unternehmen, die bei Webanwendungen Amazon CloudFront, einen global verteilten CDN Service einsetzen, haben automatisch einen erhöhten DDoS-Schutz, da Angreifer wie Clients sich an die Verteilung des Traffics via DNS halten müssen. Das Volumen einer jeden DDoS-Attacke wird dadurch in kleinere Mengen zerteilt und die Abwehr kann gezielter erfolgen. Zudem trägt AWS die Verantwortung für die Sicherheit von Amazon CloudFront (als Managed Service) auf Infrastrukturebene. Da der Service ausschließlich HTTP und HTTPS Verbindungen akzeptiert, ist er äußerst robust gegen jegliche Angriffe auf Layer 3 und 4. Dass ein CDN sich dabei nur für statische Inhalte einsetzen lässt, trifft bei Amazon CloudFront übrigens nicht zu: Der Service kann sehr wohl dynamische Webanwendungen global bereitstellen. Weitere Empfehlungen zur Verbesserung der eigenen DDoS-Resilienz finden sich in einem AWS-Whitepaper.

Fazit
Es gibt viel zu beachten beim Aufbau und Betrieb von Abwehrmaßnahmen mit AWS WAF und AWS Shield. Dieser Artikel zeigte die wesentlichen Komponenten auf und wie sich gängige Angriffe damit zurückschlagen lassen. Unternehmen sollten jedoch stets bedenken, dass gerade eine WAF immer nur als die erste Ebene von mehreren Sicherheitsvorkehrungen zu sehen ist und niemals ein ganzheitliches Sicherheitskonzept ersetzen kann.

ln/David Heidt

Im ersten Teil des Workshops haben wir die Grundlagen der Services beschrieben und wie Sie mit Managed Rules und Geofencing für Sicherheit sorgen. Im zweiten Teil erfuhren Sie, wie Sie mit WAF Bots abwehren, Account Takeover verhindern und wie Best Practices aussehen könnten.

Ähnliche Beiträge

Webanwendungen schützen mit AWS Web Application Firewall und Shield (2)

Wer als Unternehmen eine Webseite oder -anwendung betreibt, muss sich meist früher als später mit Angriffen auseinandersetzen. Bei deren Abwehr spielen Schutzdienste auf Perimeter-Ebene eine entscheidende Rolle. AWS hat hierzu WAF und Shield im Portfolio. Im zweiten Teil erfahren Sie, wie Sie mit WAF Bots abwehren, Account Takeover verhindern und wie Best Practices aussehen könnten.

Webanwendungen schützen mit AWS Web Application Firewall und Shield (1)

Wer als Unternehmen eine Webseite oder -anwendung betreibt, muss sich meist früher als später mit Angriffen auseinandersetzen. Bei deren Abwehr spielen neben Schutzdienste auf Perimeter-Ebene eine entscheidende Rolle. AWS hat hierzu WAF und Shield im Portfolio. Im ersten Teil der Workshop-Serie beschreiben wir die Grundlagen der Services und wie Sie mit Managed Rules und Geofencing für Sicherheit sorgen.

Mit ITAM aus der Cloud zu mehr Endpunkt-Sicherheit

Wer IT-Sicherheit ernst nimmt, braucht ein IT-Asset-Management. Denn es gewährleistet vollumfängliche Informationen zu sämtlichen Endpoints – vom Homeoffice über die Cloud bis hin zu on-premises. Der Betrieb eigener Plattformen ist jedoch gerade für mittelständische Unternehmen oft zu aufwendig. Eine einfache Alternative versprechen Managed Service Provider, die ITAM-Werkzeuge für ihre Kunden hosten und managen. Ist SaaS hier der beste Ansatz? Und was ist für erfolgreiche Einführungen zu beachten?