Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel für eine Shield Advanced DDo S-Resilienzarchitektur für TCP- und UDP-Anwendungen
Dieses Beispiel zeigt eine robuste DDo S-Architektur für TCP- und UDP-Anwendungen in einer AWS Region, die Amazon Elastic Compute Cloud (Amazon EC2) -Instances oder Elastic IP (EIP) -Adressen verwendet.
Sie können diesem allgemeinen Beispiel folgen, um die DDo S-Resilienz für die folgenden Anwendungstypen zu verbessern:
TCP- oder UDP-Anwendungen. Zum Beispiel Anwendungen, die für Spiele, IoT und Voice over IP verwendet werden.
Webanwendungen, die statische IP-Adressen benötigen oder Protokolle verwenden, die Amazon CloudFront nicht unterstützt. Beispielsweise benötigt Ihre Anwendung möglicherweise IP-Adressen, die Ihre Benutzer zu ihren Firewall-Zulassungslisten hinzufügen können und die nicht von anderen AWS Kunden verwendet werden.
Sie können die DDo S-Resilienz für diese Anwendungstypen verbessern, indem Sie Amazon Route 53 und AWS Global Accelerator einführen. Diese Dienste können Benutzer zu Ihrer Anwendung weiterleiten und sie können Ihrer Anwendung statische IP-Adressen zur Verfügung stellen, die per Anycast über das AWS globale Edge-Netzwerk weitergeleitet werden. Die Standardbeschleuniger von Global Accelerator können die Benutzerlatenz um bis zu 60% verbessern. Wenn Sie über eine Webanwendung verfügen, können Sie Anforderungsfluten auf der Webanwendungsebene erkennen und verhindern, indem Sie die Anwendung auf einem Application Load Balancer ausführen und den Application Load Balancer anschließend mit einer AWS WAF Web-ACL schützen.
Nachdem Sie Ihre Anwendung erstellt haben, schützen Sie Ihre Route 53-Hosting-Zonen, Global Accelerator-Standardbeschleuniger und alle Application Load Balancer mit Shield Advanced. Wenn Sie Ihre Application Load Balancer schützen, können Sie ihnen AWS WAF Web-basierte Regeln zuordnen ACLs und ratenbasierte Regeln für sie erstellen. Sie können den proaktiven Umgang mit dem SRT sowohl für Ihre Global Accelerator-Standardbeschleuniger als auch für Ihre Application Load Balancer konfigurieren, indem Sie neue oder bestehende Route 53-Zustandsprüfungen zuordnen. Weitere Informationen zu den Optionen finden Sie unter. Ressourcenschutz in AWS Shield Advanced
Das folgende Referenzdiagramm zeigt ein Beispiel für eine robuste DDo S-Architektur für TCP- und UDP-Anwendungen.
Dieser Ansatz bietet Ihrer Anwendung unter anderem folgende Vorteile:
-
Schutz vor den größten bekannten Angriffen auf die Infrastrukturschicht (Layer 3 und Layer 4) DDo S. Wenn das Volumen eines Angriffs zu einer Überlastung im Vorfeld führt AWS, wird der Fehler näher an seiner Quelle isoliert und hat nur minimale Auswirkungen auf Ihre legitimen Benutzer.
-
Schutz vor Angriffen auf DNS-Anwendungsebene, da Route 53 für die Bereitstellung autorisierender DNS-Antworten verantwortlich ist.
-
Wenn Sie über eine Webanwendung verfügen, bietet dieser Ansatz Schutz vor einer Flut von Anfragen auf der Webanwendungsebene. Die ratenbasierte Regel, die Sie in Ihrer AWS WAF Web-ACL konfigurieren, blockiert Quellen, IPs während diese mehr Anfragen senden, als die Regel zulässt.
-
Proaktive Zusammenarbeit mit dem Shield Response Team (SRT), wenn Sie diese Option für berechtigte Ressourcen aktivieren möchten. Wenn Shield Advanced ein Ereignis erkennt, das sich auf den Zustand Ihrer Anwendung auswirkt, reagiert das SRT und setzt sich anhand der von Ihnen angegebenen Kontaktinformationen proaktiv mit Ihren Sicherheits- oder Betriebsteams in Verbindung.
