Bewährte Methoden für die Verwendung der automatischen DDoS Abwehr auf Anwendungsebene - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Verwendung der automatischen DDoS Abwehr auf Anwendungsebene

Halten Sie sich bei der Verwendung der automatischen Schadensbegrenzung an die Hinweise in diesem Abschnitt.

Verwaltung allgemeiner Schutzmaßnahmen

Halten Sie sich bei der Planung und Implementierung Ihrer automatischen Schutzmaßnahmen an diese Richtlinien.

  • Verwalten Sie Ihren gesamten automatischen Schadensbegrenzungsschutz entweder über Shield Advanced oder, falls Sie Ihre Einstellungen AWS Firewall Manager zur automatischen Abwehr von Shield Advanced verwenden, über Firewall Manager. Verwenden Sie Shield Advanced und Firewall Manager nicht gleichzeitig, um diese Schutzmaßnahmen zu verwalten.

  • Verwalten Sie ähnliche Ressourcen mit denselben Web ACLs - und Schutzeinstellungen und verwalten Sie unterschiedliche Ressourcen mit unterschiedlichen Websites. ACLs Wenn Shield Advanced einen DDoS Angriff auf eine geschützte Ressource abwehrt, definiert es Regeln für das Web, ACL das mit der Ressource verknüpft ist, und testet dann die Regeln anhand des Datenverkehrs aller Ressourcen, die mit dem Internet ACL verknüpft sind. Shield Advanced wendet die Regeln nur an, wenn sie sich nicht negativ auf die zugehörigen Ressourcen auswirken. Weitere Informationen finden Sie unter So verwaltet Shield Advanced die automatische Schadensbegrenzung.

  • Aktivieren Sie für Application Load Balancer, deren gesamter Internetverkehr über eine CloudFront Amazon-Distribution weitergeleitet wird, nur die automatische Schadensbegrenzung für die Verteilung. CloudFront Die CloudFront Distribution wird immer über die größte Anzahl an ursprünglichen Datenverkehrsattributen verfügen, die Shield Advanced zur Abwehr von Angriffen nutzt.

Optimierung der Erkennung und Abwehr

Folgen Sie diesen Richtlinien, um den Schutz zu optimieren, den die automatische Schadensbegrenzung für geschützte Ressourcen bietet. Einen Überblick über die Erkennung und Abwehr auf Anwendungsebene finden Sie unter. Liste der Faktoren, die die Erkennung und Minderung von Ereignissen auf Anwendungsebene mit Shield Advanced beeinflussen

  • Konfigurieren Sie Integritätsprüfungen für Ihre geschützten Ressourcen und verwenden Sie sie, um eine gesundheitsbasierte Erkennung in Ihren Shield Advanced-Schutzmaßnahmen zu ermöglichen. Anleitungen finden Sie unter Gesundheitsbasierte Erkennung mithilfe von Zustandsprüfungen mit Shield Advanced und Route 53.

  • Aktivieren Sie die automatische Schadensbegrenzung in Count Modus, bis Shield Advanced eine Ausgangsbasis für normalen, historischen Verkehr festgelegt hat. Shield Advanced benötigt zwischen 24 Stunden und 30 Tagen, um einen Basiswert festzulegen.

    Um eine Basislinie für normale Verkehrsmuster zu erstellen, ist Folgendes erforderlich:

    • Die Verknüpfung eines Webs ACL mit der geschützten Ressource. Sie können es AWS WAF direkt verwenden, um Ihr Web zu verknüpfen, ACL oder Sie können es Shield Advanced zuordnen lassen, wenn Sie den Shield Advanced-Schutz auf Anwendungsebene aktivieren und ein ACL zu verwendendes Web angeben.

    • Normaler Datenfluss zu Ihrer geschützten Anwendung. Wenn bei Ihrer Anwendung kein normaler Datenverkehr stattfindet, z. B. bevor die Anwendung gestartet wird, oder wenn es für längere Zeit zu wenig Produktionsdatenverkehr gibt, können die historischen Daten nicht erfasst werden.

ACLWeb-Verwaltung

Folgen Sie diesen Richtlinien für die Verwaltung des WebsACLs, das Sie mit automatischer Schadensbegrenzung verwenden.

  • Wenn Sie das Web, das der geschützten Ressource zugeordnet istACL, ersetzen müssen, nehmen Sie die folgenden Änderungen der Reihe nach vor:

    1. Deaktivieren Sie in Shield Advanced die automatische Schadensbegrenzung.

    2. In: AWS WAF Trennen Sie die Zuordnung zum alten Web ACL und ordnen Sie das neue Web zu. ACL

    3. Aktivieren Sie in Shield Advanced die automatische Schadensbegrenzung.

    Shield Advanced überträgt die automatische Abwehr nicht automatisch vom alten ACL auf das neue Web.

  • Löschen Sie keine Regelgruppenregel aus Ihrer WebsiteACLs, deren Name mit ShieldMitigationRuleGroup beginnt. Wenn Sie diese Regelgruppe löschen, deaktivieren Sie den Schutz, der durch die automatische Schadensbegrenzung von Shield Advanced für jede Ressource bereitgestellt wird, die mit dem Internet verknüpft ist. ACL Darüber hinaus kann es einige Zeit dauern, bis Shield Advanced eine Benachrichtigung über die Änderung erhält und die Einstellungen aktualisiert. Während dieser Zeit werden auf den Seiten der Shield Advanced-Konsole falsche Informationen angezeigt.

    Weitere Informationen zur Regelgruppe finden Sie unterSchutz der Anwendungsebene mit der Shield Advanced-Regelgruppe.

  • Ändern Sie nicht den Namen einer Regelgruppenregel, deren Name mit beginntShieldMitigationRuleGroup. Dies kann die Schutzmaßnahmen beeinträchtigen, die durch die automatische Abwehr von Shield Advanced über das Internet bereitgestellt werden. ACL

  • Verwenden Sie beim Erstellen von Regeln und Regelgruppen keine Namen, die mit beginnen. ShieldMitigationRuleGroup Diese Zeichenfolge wird von Shield Advanced verwendet, um Ihre automatischen Gegenmaßnahmen zu verwalten.

  • Weisen Sie bei der Verwaltung Ihrer ACL Webregeln keine Prioritätseinstellung von 10.000.000 zu. Shield Advanced weist diese Prioritätseinstellung seiner Gruppenregel für automatische Schadensbegrenzung zu, wenn es sie hinzufügt.

  • Ordnen Sie der ShieldMitigationRuleGroup Regel eine Priorität zu, sodass sie im Verhältnis zu den anderen Regeln in Ihrem Web ausgeführt wird, wann Sie möchten. ACL Shield Advanced fügt dem Web die Regelgruppenregel ACL mit der Priorität 10.000.000 hinzu, sodass sie nach Ihren anderen Regeln ausgeführt wird. Wenn Sie den AWS WAF Konsolenassistenten zur Verwaltung Ihres Webs verwendenACL, passen Sie die Prioritätseinstellungen nach dem Hinzufügen von Regeln zum Web nach Bedarf an. ACL

  • Wenn Sie AWS CloudFormation Ihr Web verwaltenACLs, müssen Sie die ShieldMitigationRuleGroup Regelgruppenregel nicht verwalten. Folgen Sie den Anweisungen unterVerwendung AWS CloudFormation mit automatischer DDoS Risikominderung auf Anwendungsebene.