Automatisierung der DDoS Schadensbegrenzung auf Anwendungsebene mit Shield Advanced - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Automatisierung der DDoS Schadensbegrenzung auf Anwendungsebene mit Shield Advanced

Auf dieser Seite wird das Thema der automatischen DDoS Abwehr auf Anwendungsebene vorgestellt und die damit verbundenen Vorbehalte aufgeführt.

Sie können Shield Advanced so konfigurieren, dass es automatisch reagiert, um Angriffe auf Anwendungsebene (Schicht 7) gegen Ihre geschützten Ressourcen auf Anwendungsebene abzuwehren, indem Webanfragen, die Teil des Angriffs sind, gezählt oder blockiert werden. Diese Option ist eine Ergänzung zum Schutz auf Anwendungsebene, den Sie über Shield Advanced mit einer AWS WAF Web ACL - und Ihrer eigenen ratenbasierten Regel hinzufügen.

Wenn die automatische Risikominderung für eine Ressource aktiviert ist, verwaltet Shield Advanced eine Regelgruppe im zugehörigen Web der Ressource, ACL in der es Minderungsregeln im Namen der Ressource verwaltet. Die Regelgruppe enthält eine ratenbasierte Regel, die das Volumen der Anfragen von IP-Adressen verfolgt, von denen bekannt ist, dass sie Angriffsquellen sind. DDoS

Darüber hinaus vergleicht Shield Advanced aktuelle Verkehrsmuster mit historischen Verkehrsbasislinien, um Abweichungen zu erkennen, die auf einen DDoS Angriff hinweisen könnten. Shield Advanced reagiert auf erkannte DDoS Angriffe, indem es zusätzliche benutzerdefinierte AWS WAF Regeln in der Regelgruppe erstellt, auswertet und einsetzt.

Vorbehalte bei der Verwendung der automatischen Schadensbegrenzung auf Anwendungsebene DDoS

In der folgenden Liste werden die Vorbehalte der automatischen DDoS Abwehr auf Anwendungsebene von Shield Advanced beschrieben und die Schritte beschrieben, die Sie möglicherweise als Reaktion darauf ergreifen sollten.

  • Die automatische DDoS Abwehr auf Anwendungsebene funktioniert nur mit WebsitesACLs, die mit der neuesten Version von AWS WAF (v2) erstellt wurden.

  • Shield Advanced benötigt Zeit, um eine Basislinie des normalen, historischen Datenverkehrs Ihrer Anwendung zu erstellen, die es nutzt, um den Angriffsverkehr zu erkennen und vom normalen Verkehr zu isolieren, um den Angriffsverkehr einzudämmen. Die Erstellung einer Baseline dauert zwischen 24 Stunden und 30 Tagen ab dem Zeitpunkt, an dem Sie der geschützten Anwendungsressource ein Web ACL zuordnen. Weitere Informationen zu Verkehrs-Baselines finden Sie unter. Liste der Faktoren, die die Erkennung und Minderung von Ereignissen auf Anwendungsebene mit Shield Advanced beeinflussen

  • Wenn Sie die automatische DDoS Risikominderung auf Anwendungsebene aktivieren, wird Ihrem Web eine Regelgruppe hinzugefügtACL, die 150 ACL Webkapazitätseinheiten () verwendet. WCUs Diese werden WCUs auf die WCU Nutzung in Ihrem Web ACL angerechnet. Weitere Informationen finden Sie unter Schutz der Anwendungsebene mit der Shield Advanced-Regelgruppe und ACLWebkapazitätseinheiten (WCUs) in AWS WAF.

  • Die Shield Advanced-Regelgruppe generiert AWS WAF Metriken, die jedoch nicht angezeigt werden können. Das Gleiche gilt für alle anderen Regelgruppen, die Sie in Ihrer Website verwenden, die Sie ACL aber nicht besitzen, wie z. B. Regelgruppen mit AWS verwalteten Regeln. Weitere Informationen zu AWS WAF Metriken finden Sie unterAWS WAF Metriken und Dimensionen. Informationen zu dieser Shield Advanced-Schutzoption finden Sie unterAutomatisierung der DDoS Schadensbegrenzung auf Anwendungsebene mit Shield Advanced .

  • Bei WebsitesACLs, die mehrere Ressourcen schützen, setzt die automatische Schadensbegrenzung nur benutzerdefinierte Abhilfemaßnahmen ein, die sich nicht negativ auf die geschützten Ressourcen auswirken.

  • Die Zeit zwischen dem Beginn eines DDoS Angriffs und dem Zeitpunkt, zu dem Shield Advanced benutzerdefinierte Regeln zur automatischen Abwehr festlegt, ist von Ereignis zu Ereignis unterschiedlich. Einige DDoS Angriffe können enden, bevor die benutzerdefinierten Regeln implementiert werden. Andere Angriffe können auftreten, wenn bereits eine Abwehr vorhanden ist und daher von Beginn des Ereignisses an durch diese Regeln abgewehrt werden kann. Darüber hinaus können ratenbasierte Regeln in der Regelgruppe Web ACL und Shield Advanced den Angriffsverkehr abschwächen, bevor er als mögliches Ereignis erkannt wird.

  • Für Application Load Balancer, die jeglichen Datenverkehr über ein Content Delivery Network (CDN) empfangen, wie Amazon CloudFront, werden die automatischen Abwehrfunktionen von Shield Advanced auf Anwendungsebene für diese Application Load Balancer-Ressourcen reduziert. Shield Advanced verwendet Client-Datenverkehrsattribute, um den Angriffsverkehr zu identifizieren und vom normalen Datenverkehr an Ihre Anwendung zu isolieren, und behält die ursprünglichen Client-Traffic-Attribute CDNs möglicherweise nicht bei oder leitet sie weiter. Wenn Sie dies verwenden CloudFront, empfehlen wir, die automatische Abwehr für die CloudFront Verteilung zu aktivieren.

  • Die automatische DDoS Schadensbegrenzung auf Anwendungsebene interagiert nicht mit Schutzgruppen. Sie können die automatische Abwehr für Ressourcen aktivieren, die sich in Schutzgruppen befinden, aber Shield Advanced wendet nicht automatisch Angriffsabwehrmaßnahmen an, die auf den Ergebnissen der Schutzgruppe basieren. Shield Advanced wendet automatische Angriffsabwehrmaßnahmen für einzelne Ressourcen an.