Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Auf dieser Seite wird vorgestellt, wie die Abwehr von AWS Shield Ereignissen funktioniert.
Die Abhilflogik, die Ihre Anwendung schützt, kann je nach Ihrer Anwendungsarchitektur variieren. Wenn Sie eine Webanwendung mit Amazon CloudFront und Amazon Route 53 schützen, profitieren Sie von Schutzmaßnahmen, die speziell auf Web- und DNS-Anwendungsfälle zugeschnitten sind und den gesamten Datenverkehr für die Services schützen. Wenn der Einstiegspunkt Ihrer Anwendung eine Ressource ist, die in einer AWS Region ausgeführt wird, variiert die Risikominderungslogik je nach Service, Ressourcentyp und Nutzung von. AWS Shield Advanced
AWS DDoS-Minderungssysteme werden von Shield-Technikern entwickelt und sind eng in die AWS Services integriert. Die Techniker berücksichtigen Aspekte Ihrer Architektur wie die Kapazität und den Zustand der Zielressourcen. Die Techniker von Shield überwachen kontinuierlich die Wirksamkeit und Leistung der DDo S-Abwehrsysteme und sind in der Lage, schnell zu reagieren, wenn neue Bedrohungen entdeckt oder erwartet werden.
Sie können Ihre Anwendung so gestalten, dass sie bei erhöhtem Datenverkehr oder hoher Auslastung skaliert wird, um sicherzustellen, dass sie nicht durch kleinere Anforderungsfluten beeinträchtigt wird. Wenn Sie Shield Advanced zum Schutz Ihrer Ressourcen verwenden, sind Sie gegen unerwartete Erhöhungen Ihrer Cloud-Rechnung abgesichert, die als Folge eines DDo S-Angriffs auftreten könnten.
Maßnahmen zur Minderung der Infrastruktur
Bei Angriffen auf die Infrastrukturebene sind AWS Shield DDo S-Abwehrsysteme an der AWS Netzwerkgrenze und an AWS Edge-Standorten vorhanden. Die Platzierung mehrerer Ebenen von Sicherheitskontrollen in der gesamten AWS Infrastruktur sorgt für defense-in-depth Ihre Cloud-Anwendungen.
Shield unterhält DDo S-Abwehrsysteme an allen Zugangspunkten aus dem Internet. Wenn Shield einen DDo S-Angriff erkennt, leitet es den Datenverkehr für jeden Eintrittspunkt durch die DDo S-Abwehrsysteme am selben Standort um. Dies führt zu keiner beobachtbaren zusätzlichen Latenz und bietet eine Abwehrkapazität von mehr als 100 TeraBits pro Sekunde (Tbps) in allen Regionen und allen Edge-Standorten. AWS Shield schützt Ihre Ressourcenverfügbarkeit, ohne den Datenverkehr an externe oder entfernte Scrubbing-Center umzuleiten, was die Latenz erhöhen könnte.
-
An der AWS Netzwerkgrenze verhindern DDo S-Abwehrsysteme für jeden AWS Dienst oder jede Ressource Angriffe auf Infrastrukturebene, die aus dem Internet kommen. Die Systeme führen ihre Abhilfemaßnahmen durch, wenn sie von Shield Detection oder von einem Techniker des Shield Response Teams (SRT) gemeldet werden.
-
An AWS Edge-Standorten überprüfen DDo S-Abwehrsysteme kontinuierlich jedes Paket, das an CloudFront Amazon-Distributionen und Amazon Route 53-Hosting-Zonen weitergeleitet wird, unabhängig von ihrer Herkunft. Bei Bedarf wenden die Systeme Schutzmaßnahmen an, die speziell für den Web- und DNS-Verkehr entwickelt wurden. Ein zusätzlicher Vorteil der Verwendung von Amazon CloudFront und Amazon Route 53 zum Schutz Ihrer Webanwendungen besteht darin, dass DDo S-Angriffe sofort abgewehrt werden, ohne dass ein Signal von der Shield-Erkennung erforderlich ist.
Abwehr auf Anwendungsebene
Shield Advanced bietet Schutzmaßnahmen auf Webanwendungsebene für die CloudFront Amazon-Distributionen und Application Load Balancer, für die Sie den erweiterten Schutz von Shield aktiviert haben. Wenn Sie den Schutz aktivieren, ordnen Sie der Ressource eine AWS WAF Web-ACL zu, um die Erkennung auf Webanwendungsebene zu aktivieren. Darüber hinaus haben Sie die Möglichkeit, die automatische Abwehr auf Anwendungsebene zu aktivieren, wodurch Shield Advanced angewiesen wird, den Schutz während eines DDo S-Angriffs für Sie zu verwalten.
Shield bietet nur benutzerdefinierte Abwehrmaßnahmen für Angriffe auf Anwendungsebene auf Ressourcen, für die Sie Shield Advanced aktiviert haben, und automatische Abwehr auf Anwendungsebene. Mit automatischer Abwehr erzwingt Shield Advanced eine AWS WAF Ratenbegrenzung für Anfragen aus bekannten DDo S-Quellen und fügt als Reaktion auf erkannte DDo S-Angriffe automatisch benutzerdefinierte AWS WAF Schutzmaßnahmen hinzu und verwaltet diese. Ausführliche Informationen zu Abhilfemaßnahmen dieser Art finden Sie unter. So verwaltet Shield Advanced die automatische Schadensbegrenzung
Eine ratenbasierte Regel in Ihrer Web-ACL, unabhängig davon, ob sie von Ihnen oder durch die automatische Abwehr auf Anwendungsebene von Shield Advanced hinzugefügt wurde, kann einen Angriff abwehren, bevor er ein erkennbares Ausmaß erreicht. Weitere Informationen zur Erkennung finden Sie unter. Shield Advanced Erkennungslogik für Bedrohungen auf Anwendungsebene (Schicht 7)
Themen
