AWS Shield Mitigationslogik für CloudFront und Route 53 - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Shield Mitigationslogik für CloudFront und Route 53

Auf dieser Seite wird erklärt, wie Shield DDoS Mitigation kontinuierlich den Verkehr für CloudFront und Route 53 überprüft. Diese Dienste werden von einem weltweit verteilten Netzwerk von AWS Edge-Standorten aus betrieben, sodass Sie umfassenden Zugriff auf die DDoS Risikominderungskapazitäten von Shield haben und Ihre Anwendung von einer Infrastruktur aus bereitstellen können, die sich näher an Ihren Endbenutzern befindet.

  • CloudFront— Durch DDoS Shield-Schutzmaßnahmen kann nur Datenverkehr, der für Webanwendungen gültig ist, zum Service weitergeleitet werden. Dies bietet automatischen Schutz vor vielen gängigen DDoS Vektoren wie UDP Reflection-Angriffen.

    CloudFront unterhält persistente Verbindungen zu Ihrem Anwendungsursprung, TCP SYN Überschwemmungen werden durch die Integration mit der TCP SYN Shield-Proxyfunktion automatisch abgemildert und Transport Layer Security (TLS) wird am Edge beendet. Diese kombinierten Funktionen stellen sicher, dass Ihre Anwendung nur wohlgeformte Webanfragen empfängt und dass sie vor DDoS Angriffen auf niedrigerer Ebene, Verbindungsfluten und Missbrauch geschützt ist. TLS

    CloudFront verwendet eine Kombination aus DNS Verkehrsrichtung und Anycast-Routing. Diese Techniken verbessern die Widerstandsfähigkeit Ihrer Anwendung, indem sie Angriffe direkt an der Quelle abwehren, Fehler isolieren und den Zugriff auf Kapazitäten sicherstellen, um die größten bekannten Angriffe abzuwehren.

  • Route 53 — Shield-Abhilfemaßnahmen ermöglichen es nur gültigen DNS Anfragen, den Service zu erreichen. Shield verhindert DNS Abfragefluten mithilfe einer Verdachtsbewertung, die bekanntermaßen funktionierende Abfragen priorisiert und Abfragen, die verdächtige oder bekannte Angriffsattribute enthalten, depriorisiert. DDoS

    Route 53 verwendet Shuffle-Sharding, um jeder Hosting-Zone einen eindeutigen Satz von vier Resolver-IP-Adressen zur Verfügung zu stellen, sowohl für als auch. IPv4 IPv6 Jede IP-Adresse entspricht einer anderen Teilmenge von Route 53-Standorten. Jede Standortuntergruppe besteht aus autorisierenden DNS Servern, die sich nur teilweise mit der Infrastruktur einer anderen Teilmenge überschneiden. Dadurch wird sichergestellt, dass eine Benutzerabfrage, falls sie aus irgendeinem Grund fehlschlägt, bei einem erneuten Versuch erfolgreich bearbeitet wird.

    Route 53 verwendet Anycast-Routing, um DNS Anfragen je nach Netzwerknähe an den nächstgelegenen Edge-Standort weiterzuleiten. Anycast fächert außerdem den DDoS Verkehr zu vielen Edge-Standorten auf, wodurch verhindert wird, dass sich Angriffe auf einen einzigen Standort konzentrieren.

Zusätzlich zur Geschwindigkeit der Schadensbegrenzung bieten Route 53 einen breiten Zugang zu den weltweit verteilten Kapazitäten von Shield. CloudFront Um diese Funktionen zu nutzen, nutzen Sie diese Dienste als Einstiegspunkt für Ihre dynamischen oder statischen Webanwendungen.

Weitere Informationen zur Verwendung von CloudFront und Route 53 zum Schutz von Webanwendungen finden Sie unter So schützen Sie dynamische Webanwendungen vor DDoS Angriffen mithilfe von Amazon CloudFront und Amazon Route 53. Weitere Informationen zur Fehlerisolierung auf Route 53 finden Sie unter Eine Fallstudie zur globalen Fehlerisolierung.