Liste der Faktoren, die die Erkennung und Minderung von Ereignissen auf Anwendungsebene mit Shield Advanced beeinflussen

In diesem Abschnitt werden die Faktoren beschrieben, die die Erkennung und Abwehr von Ereignissen auf Anwendungsebene durch Shield Advanced beeinflussen.

Health checks (Zustandsprüfungen)

Integritätsprüfungen, die den Gesamtzustand Ihrer Anwendung genau melden, liefern Shield Advanced Informationen über die Verkehrsbedingungen, denen Ihre Anwendung ausgesetzt ist. Shield Advanced benötigt weniger Informationen, die auf einen möglichen Angriff hinweisen, wenn Ihre Anwendung als fehlerhaft gemeldet wird, und es werden mehr Beweise für einen Angriff benötigt, wenn Ihre Anwendung als fehlerfrei gemeldet wird.

Es ist wichtig, dass Sie Ihre Integritätsprüfungen so konfigurieren, dass sie den Zustand der Anwendung korrekt melden. Weitere Informationen und Anleitungen finden Sie unterGesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53.

Ausgangswerte für den Verkehr

Verkehrs-Baselines geben Shield Advanced Informationen über die Eigenschaften des normalen Datenverkehrs für Ihre Anwendung. Shield Advanced verwendet diese Baselines, um zu erkennen, wenn Ihre Anwendung keinen normalen Datenverkehr empfängt, sodass es Sie benachrichtigen und, wie konfiguriert, mit der Entwicklung und dem Testen von Abwehroptionen beginnen kann, um einem potenziellen Angriff entgegenzuwirken. Weitere Informationen darüber, wie Shield Advanced Verkehrsbaselines verwendet, um potenzielle Ereignisse zu erkennen, finden Sie im Abschnitt Übersicht. Shield Advanced Erkennungslogik für Bedrohungen auf Anwendungsebene (Schicht 7)

Shield Advanced erstellt seine Baselines aus Informationen, die vom Internet ACL bereitgestellt werden und mit der geschützten Ressource verknüpft sind. Das Web ACL muss mindestens 24 Stunden und bis zu 30 Tage mit der Ressource verknüpft sein, bevor Shield Advanced die Baselines der Anwendung zuverlässig ermitteln kann. Die benötigte Zeit beginnt, wenn Sie das Web verknüpfenACL, entweder über Shield Advanced oder über AWS WAF.

Weitere Informationen zur Verwendung eines Webs ACL mit Ihrem Shield Advanced-Schutz auf Anwendungsebene finden Sie unterSchutz der Anwendungsebene mit AWS WAF Web ACLs und Shield Advanced.

Ratenbasierte Regeln

Ratenbasierte Regeln können zur Abwehr von Angriffen beitragen. Sie können Angriffe auch verschleiern, indem sie sie abwehren, bevor sie zu einem Problem werden, das groß genug ist, um in normalen Datenverkehrsdaten oder in Statusberichten zum Status von Gesundheitschecks aufzutauchen.

Wir empfehlen, ratenbasierte Regeln in Ihrem Web zu verwenden, ACL wenn Sie eine Anwendungsressource mit Shield Advanced schützen. Auch wenn ihre Abwehr einen potenziellen Angriff verdecken kann, stellen sie eine wertvolle erste Verteidigungslinie dar und tragen dazu bei, dass Ihre Anwendung Ihren legitimen Kunden weiterhin zur Verfügung steht. Der Traffic, den Ihre tarifbasierten Regeln erkennen, und das Ratenlimit sind in Ihren Kennzahlen sichtbar. AWS WAF

Wenn Sie die automatische Abwehr auf Anwendungsebene aktivieren, fügt Shield Advanced zusätzlich zu Ihren eigenen ratenbasierten Regeln eine Regelgruppe zu Ihrem Web hinzu, ACL die zur DDoS Abwehr von Angriffen verwendet wird. In dieser Regelgruppe verfügt Shield Advanced immer über eine ratenbasierte Regel, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Angriffsquellen DDoS sind. Metriken für den Traffic, den die Shield Advanced-Regeln abschwächen, können Sie nicht einsehen.

Weitere Informationen zu ratenbasierten Regeln finden Sie unter. Verwendung ratenbasierter Regelanweisungen in AWS WAF Informationen zu der ratenbasierten Regel, die Shield Advanced für die automatische DDoS Schadensbegrenzung auf Anwendungsebene verwendet, finden Sie unter. Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe

Weitere Informationen zu Shield Advanced und AWS WAF Metriken finden Sie unterÜberwachung mit Amazon CloudWatch.