So verwaltet Shield Advanced die automatische Schadensbegrenzung - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Während eines Angriffs DDoSSo verwaltet Shield Advanced die AktionseinstellungWenn ein Angriff nachlässtWenn Sie die automatische Schadensbegrenzung deaktivieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

So verwaltet Shield Advanced die automatische Schadensbegrenzung

In den Themen in diesem Abschnitt wird beschrieben, wie Shield Advanced mit Ihren Konfigurationsänderungen für die automatische DDoS Abwehr auf Anwendungsebene umgeht und wie es mit DDoS Angriffen umgeht, wenn die automatische Abwehr aktiviert ist.

So reagiert Shield Advanced mit automatischer Abwehr auf DDoS Angriffe

Wenn Sie die automatische Schadensbegrenzung für eine geschützte Ressource aktiviert haben, reagiert die ratenbasierte Regel ShieldKnownOffenderIPRateBasedRule in der Regelgruppe Shield Advanced automatisch auf erhöhte Datenverkehrsmengen aus bekannten Quellen. DDoS Diese Ratenbegrenzung wird schnell angewendet und dient als Schutz an vorderster Front gegen Angriffe.

Wenn Shield Advanced einen Angriff erkennt, geht es wie folgt vor:

  1. Versucht, eine Angriffssignatur zu identifizieren, die den Angriffsverkehr vom normalen Datenverkehr zu Ihrer Anwendung isoliert. Ziel ist es, qualitativ hochwertige DDoS Abwehrregeln zu erstellen, die, wenn sie gesetzt werden, nur den Angriffsverkehr betreffen und den normalen Datenverkehr zu Ihrer Anwendung nicht beeinträchtigen.

  2. Vergleicht die identifizierte Angriffssignatur anhand der historischen Datenverkehrsmuster für die angegriffene Ressource sowie für alle anderen Ressourcen, die mit demselben Web verknüpft sind. ACL Shield Advanced tut dies, bevor es irgendwelche Regeln als Reaktion auf das Ereignis einsetzt.

    Abhängig von den Evaluierungsergebnissen führt Shield Advanced eine der folgenden Aktionen aus:

    • Wenn Shield Advanced feststellt, dass die Angriffssignatur nur den Datenverkehr isoliert, der an dem DDoS Angriff beteiligt ist, implementiert Shield Advanced die Signatur in AWS WAF Regeln in der Regelgruppe Shield Advanced-Mitigation im Web. ACL Shield Advanced gibt diesen Regeln die Aktionseinstellung, die Sie für die automatische Risikominderung der Ressource konfiguriert haben — entweder Count or Block.

    • Andernfalls führt Shield Advanced keine Abschwächung durch.

Während eines Angriffs sendet Shield Advanced dieselben Benachrichtigungen und stellt dieselben Ereignisinformationen bereit wie für grundlegende Shield Advanced-Schutzmaßnahmen auf Anwendungsebene. Sie können die Informationen über Ereignisse und DDoS Angriffe sowie über alle Shield Advanced-Abhilfemaßnahmen für Angriffe in der Shield Advanced-Ereigniskonsole einsehen. Weitere Informationen finden Sie unter Einblicke in DDoS Ereignisse mit Shield Advanced.

Wenn Sie die automatische Abwehr für die Verwendung von konfiguriert haben Block Regelaktion und Sie erhalten Fehlalarme aufgrund der von Shield Advanced bereitgestellten Risikominderungsregeln, können Sie die Regelaktion ändern in Count. Informationen dazu finden Sie unterÄnderung der Aktion, die für die automatische DDoS Abwehr auf Anwendungsebene verwendet wird.

So verwaltet Shield Advanced die Einstellung für Regelaktionen

Sie können die Regelaktion für Ihre automatischen Abhilfemaßnahmen wie folgt festlegen Block or Count.

Wenn Sie die Aktionseinstellung der automatischen Schadensbegrenzungsregel für eine geschützte Ressource ändern, aktualisiert Shield Advanced alle Regeleinstellungen für die Ressource. Es aktualisiert alle Regeln, die derzeit für die Ressource in der Shield Advanced-Regelgruppe gelten, und verwendet die neue Aktionseinstellung, wenn es neue Regeln erstellt.

Wenn Sie für Ressourcen, die dasselbe Web verwendenACL, unterschiedliche Aktionen angeben, verwendet Shield Advanced den Block Aktionseinstellung für die ratenbasierte Regel der Regelgruppe. ShieldKnownOffenderIPRateBasedRule Shield Advanced erstellt und verwaltet andere Regeln in der Regelgruppe im Namen einer bestimmten geschützten Ressource und verwendet die Aktionseinstellung, die Sie für die Ressource angegeben haben. Alle Regeln in der Shield Advanced-Regelgruppe in einem Web ACL werden auf den Webverkehr aller zugehörigen Ressourcen angewendet.

Es kann einige Sekunden dauern, bis die Änderung der Aktionseinstellung wirksam wird. Während dieser Zeit werden Sie möglicherweise an einigen Stellen, an denen die Regelgruppe verwendet wird, die alte Einstellung und an anderen Stellen die neue Einstellung sehen.

Sie können die Einstellung für die Regelaktion für Ihre automatische Schadensbegrenzungskonfiguration auf der Ereignisseite der Konsole und auf der Konfigurationsseite der Anwendungsebene ändern. Informationen zur Seite „Ereignisse“ finden Sie unterReaktion auf DDoS Ereignisse in AWS. Informationen zur Konfigurationsseite finden Sie unterKonfigurieren Sie den DDoS Schutz auf Anwendungsebene.

So verwaltet Shield Advanced Abhilfemaßnahmen, wenn ein Angriff nachlässt

Wenn Shield Advanced feststellt, dass Abwehrregeln, die für einen bestimmten Angriff eingesetzt wurden, nicht mehr benötigt werden, werden sie aus der Shield Advanced-Regelgruppe zur Schadensbegrenzung entfernt.

Das Entfernen von Regeln zur Schadensbegrenzung wird nicht unbedingt mit dem Ende eines Angriffs zusammenfallen. Shield Advanced überwacht Angriffsmuster, die es auf Ihren geschützten Ressourcen erkennt. Es kann sich proaktiv gegen die Wiederholung eines Angriffs mit einer bestimmten Signatur schützen, indem es die Regeln beibehält, die es gegen das erste Auftreten dieses Angriffs angewendet hat. Bei Bedarf verlängert Shield Advanced das Zeitfenster, in dem die Regeln eingehalten werden. Auf diese Weise kann Shield Advanced wiederholte Angriffe mit einer bestimmten Signatur abwehren, bevor sie sich auf Ihre geschützten Ressourcen auswirken.

Shield Advanced entfernt niemals die ratenbasierte RegelShieldKnownOffenderIPRateBasedRule, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Angriffsquellen DDoS sind.

Was passiert, wenn Sie die automatische Abwehr deaktivieren

Shield Advanced macht Folgendes, wenn Sie die automatische Schadensbegrenzung für eine Ressource deaktivieren:

  • Reagiert nicht mehr automatisch auf DDoS Angriffe — Shield Advanced stellt seine automatischen Reaktionsaktivitäten für die Ressource ein.

  • Entfernt nicht benötigte Regeln aus der Shield Advanced-Regelgruppe — Wenn Shield Advanced Regeln in seiner verwalteten Regelgruppe im Namen der geschützten Ressource verwaltet, werden sie entfernt.

  • Entfernt die Shield Advanced-Regelgruppe, wenn sie nicht mehr verwendet wird — Wenn das WebACL, das Sie der Ressource zugeordnet haben, keiner anderen Ressource zugeordnet ist, für die automatische Schadensbegrenzung aktiviert ist, entfernt Shield Advanced seine Regelgruppenregel aus dem InternetACL.