AWS Shield Advanced Schutzmaßnahmen nach Ressourcentyp - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Shield Advanced Schutzmaßnahmen nach Ressourcentyp

Shield Advanced schützt AWS Ressourcen in der Netzwerk- und Transportebene (Schichten 3 und 4) und in der Anwendungsschicht (Schicht 7). Sie können einige Ressourcen direkt und andere durch die Verknüpfung mit geschützten Ressourcen schützen. Shield Advanced unterstützt IPv4 und IPv6 nicht.

Dieser Abschnitt enthält Informationen zu Shield Advanced-Schutzmaßnahmen für jeden Ressourcentyp.

Anmerkung

Shield Advanced schützt nur Ressourcen, die Sie entweder in Shield Advanced oder durch eine AWS Firewall Manager Shield Advanced-Richtlinie angegeben haben. Ihre Ressourcen werden nicht automatisch geschützt.

Sie können Shield Advanced für erweiterte Überwachung und Schutz mit den folgenden Ressourcentypen verwenden:

  • CloudFront Amazon-Distributionen. Für CloudFront eine kontinuierliche Bereitstellung schützt Shield Advanced jede Staging-Distribution, die einer geschützten Primärdistribution zugeordnet ist.

  • Gehostete Zonen von Amazon Route 53.

  • AWS Global Accelerator Standardbeschleuniger.

  • Amazon EC2 Elastic IP-Adressen. Shield Advanced schützt die Ressourcen, die geschützten Elastic IP-Adressen zugeordnet sind.

  • Amazon EC2-Instances durch Zuordnung zu Amazon EC2 Elastic IP-Adressen.

  • Die folgenden Elastic Load Balancing (ELB) -Load Balancer:

    • Load Balancer für Anwendungen.

    • Classic Load Balancer.

    • Network Load Balancers über Verknüpfungen zu Amazon EC2 Elastic IP-Adressen.

Sie können Shield Advanced nicht verwenden, um andere Ressourcentypen zu schützen. Sie können beispielsweise keine AWS Global Accelerator benutzerdefinierten Routing-Beschleuniger oder Gateway Load Balancer schützen.

Sie können pro Ressourcentyp bis zu 1.000 Ressourcen überwachen und schützen. AWS-Konto In einem einzigen Konto könnten Sie beispielsweise 1.000 Amazon EC2 Elastic IP-Adressen, 1.000 CloudFront Distributionen und 1.000 Application Load Balancer schützen. Sie können eine Erhöhung der Anzahl der Ressourcen, die Sie mit Shield Advanced schützen können, über die Service Quotas Quota-Konsole unter https://console.aws.amazon.com/servicequotas/ beantragen.

Schutz von Amazon EC2 EC2-Instances und Network Load Balancers mit Shield Advanced

Sie können Amazon EC2 EC2-Instances und Network Load Balancers schützen, indem Sie diese Ressourcen zuerst an Elastic IP-Adressen anhängen und dann die Elastic IP-Adressen in Shield Advanced schützen.

Wenn Sie Elastic IP-Adressen schützen, identifiziert und schützt Shield Advanced die Ressourcen, mit denen sie verknüpft sind. Shield Advanced identifiziert automatisch den Ressourcentyp, der an eine Elastic IP-Adresse angehängt ist, und wendet die entsprechenden Erkennungen und Abhilfemaßnahmen für diese Ressource an. Dazu gehört die Konfiguration von Netzwerk-ACLs, die für die Elastic IP-Adresse spezifisch sind. Weitere Informationen zur Verwendung von Elastic IP-Adressen mit Ihren AWS Ressourcen finden Sie in den folgenden Anleitungen: Amazon Elastic Compute Cloud-Dokumentation oder Elastic Load Balancing Balancing-Dokumentation.

Während eines Angriffs verteilt Shield Advanced Ihre Netzwerk-ACLs automatisch an der Netzwerkgrenze. AWS Wenn sich Ihre Netzwerk-ACLs an der Netzwerkgrenze befinden, kann Shield Advanced Schutz vor größeren DDoS-Ereignissen bieten. In der Regel werden Netzwerk-ACLs in der Nähe Ihrer Amazon EC2 EC2-Instances innerhalb Ihrer Amazon VPC angewendet. Die Netzwerk-ACL kann Angriffe nur so groß abwehren, wie Ihre Amazon VPC und Instance handhaben können. Wenn die an Ihre Amazon EC2 EC2-Instance angeschlossene Netzwerkschnittstelle beispielsweise bis zu 10 Gbit/s verarbeiten kann, werden Volumes über 10 Gbit/s langsamer und blockieren möglicherweise den Datenverkehr zu dieser Instance. Während eines Angriffs befördert Shield Advanced Ihre Netzwerk-ACL bis AWS an die Grenze, wodurch mehrere Terabyte an Datenverkehr verarbeitet werden können. Ihre Netzwerk-ACL kann Schutz für Ihre Ressource weit über die typische Kapazität Ihres Netzwerks hinaus bieten. Weitere Informationen zu Netzwerk-ACLs finden Sie unter Network ACLs.

Bei einigen Skalierungstools AWS Elastic Beanstalk, z. B., können Sie einem Network Load Balancer nicht automatisch eine Elastic IP-Adresse zuordnen. In diesen Fällen müssen Sie die Elastic IP-Adresse manuell anhängen.