Beispiel für eine Shield Advanced DDo S-Resilienzarchitektur für gängige Webanwendungen - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für eine Shield Advanced DDo S-Resilienzarchitektur für gängige Webanwendungen

Diese Seite enthält eine Beispielarchitektur für die Maximierung der Widerstandsfähigkeit gegen DDo S-Angriffe mit Webanwendungen. AWS

Sie können in jeder AWS Region eine Webanwendung erstellen und durch die Erkennungs- und Abwehrfunktionen, die in der Region zur AWS Verfügung stehen, automatischen DDo S-Schutz erhalten.

Dieses Beispiel bezieht sich auf Architekturen, die Benutzer mithilfe von Ressourcen wie Classic Load Balancers, Application Load Balancers, Network Load Balancers, AWS Marketplace-Lösungen oder Ihrer eigenen Proxyschicht zu einer Webanwendung weiterleiten. Sie können die DDo S-Resilienz verbessern, indem Sie Amazon Route 53-Hosting-Zonen, CloudFront Amazon-Distributionen und das AWS WAF Web ACLs zwischen diesen Webanwendungsressourcen und Ihren Benutzern einfügen. Diese Einfügungen können den Ursprung der Anwendung verschleiern, Anfragen näher an Ihren Endbenutzern bearbeiten und eine Flut von Anfragen auf Anwendungsebene erkennen und verhindern. Anwendungen, die Ihren Benutzern statische oder dynamische Inhalte mit CloudFront und Route 53 bereitstellen, werden durch ein integriertes, vollständig integriertes DDo S-Abwehrsystem geschützt, das Angriffe auf Infrastrukturebene in Echtzeit abwehrt.

Mit diesen architektonischen Verbesserungen können Sie dann Ihre von Route 53 gehosteten Zonen und Ihre CloudFront Distributionen mit Shield Advanced schützen. Wenn Sie CloudFront Distributionen schützen, fordert Shield Advanced Sie auf, AWS WAF Webanwendungen zuzuordnen ACLs und ratenbasierte Regeln für sie zu erstellen. Außerdem haben Sie die Möglichkeit, automatische Abwehr auf Anwendungsebene DDo S oder proaktives Engagement zu aktivieren. Proaktives Engagement und automatische Risikominderung auf Anwendungsebene DDo S verwenden Route 53-Zustandsprüfungen, die Sie der Ressource zuordnen. Weitere Informationen zu diesen Optionen finden Sie unter Ressourcenschutz in AWS Shield Advanced.

Das folgende Referenzdiagramm zeigt diese robuste DDo S-Architektur für eine Webanwendung.

Das Diagramm zeigt ein Rechteck mit dem Titel AWS cloud und links davon eine Benutzergruppe. Innerhalb des Wolkenrechtecks befinden sich zwei weitere Rechtecke nebeneinander. Das linke Rechteck ist betitelt AWS Shield Advanced und das rechte Rechteck hat einen TitelVPC. Das linke AWS Shield Advanced Dreieck enthält drei vertikal gestapelte AWS Symbole. Von oben nach unten lauten die Symbole Amazon Route 53 CloudFront, Amazon und AWS WAF. Das Symbol für CloudFront hat Pfeile, die zum und vom Symbol für führen AWS WAF. Die Benutzergruppe hat einen waagerechten Pfeil, der sich teilt und auf die Symbole für Route 53 und CloudFront zeigt. Rechts neben dem Shield Advanced-Rechteck enthält das VPC-Rechteck zwei nebeneinander liegende Symbole. Von links nach rechts sind diese Symbole Elastic Load Balancing und Amazon Elastic Compute Cloud. Das CloudFront Symbol hat einen waagerechten Pfeil, der zum Elastic Load Balancing Balancing-Symbol führt. Das Elastic Load Balancing Balancing-Symbol hat einen waagerechten Pfeil, der zum EC2 Amazon-Symbol führt. Benutzeranfragen werden also an Route 53 und gesendet CloudFront. CloudFront interagiert mit dem Load Balancer AWS WAF und sendet Anfragen auch an diesen weiter, der wiederum Anfragen an Amazon sendet. EC2

Dieser Ansatz bietet Ihrer Webanwendung unter anderem folgende Vorteile:

  • Schutz vor häufig genutzten Angriffen der Infrastrukturschicht (Layer 3 und Layer 4) DDo S ohne Verzögerung bei der Erkennung. Wenn eine Ressource häufig angegriffen wird, führt Shield Advanced außerdem Schutzmaßnahmen für längere Zeiträume durch. Shield Advanced verwendet auch den aus Network ACLs (NACLs) abgeleiteten Anwendungskontext, um unerwünschten Datenverkehr weiter flussaufwärts zu blockieren. Dadurch werden Fehler näher an ihrer Quelle isoliert und die Auswirkungen auf legitime Benutzer minimiert.

  • Schutz vor TCP-SYN-Floods. Die DDo S-Abwehrsysteme, die in Route 53 integriert sind und eine TCP-SYN-Proxyfunktion AWS Global Accelerator bieten, die neue Verbindungsversuche abwehrt und nur legitimen Benutzern dient. CloudFront

  • Schutz vor Angriffen auf DNS-Anwendungsebene, da Route 53 für die Bereitstellung autorisierender DNS-Antworten verantwortlich ist.

  • Schutz vor Fluten von Anfragen auf Webanwendungsebene. Die ratenbasierte Regel, die Sie in Ihrer AWS WAF Web-ACL konfigurieren, blockiert Quellen IPs , wenn sie mehr Anfragen senden, als die Regel zulässt.

  • Automatische Risikominderung auf Anwendungsebene DDo S für Ihre CloudFront Distributionen, wenn Sie diese Option aktivieren. Bei der automatischen DDo S-Abwehr behält Shield Advanced eine ratenbasierte Regel in der zugehörigen AWS WAF Web-ACL der Distribution bei, die das Volumen der Anfragen aus bekannten DDo S-Quellen begrenzt. Wenn Shield Advanced ein Ereignis erkennt, das sich auf den Zustand Ihrer Anwendung auswirkt, erstellt, testet und verwaltet es außerdem automatisch Abhilferegeln in der Web-ACL.

  • Proaktive Zusammenarbeit mit dem Shield Response Team (SRT), wenn Sie diese Option aktivieren. Wenn Shield Advanced ein Ereignis erkennt, das sich auf den Zustand Ihrer Anwendung auswirkt, reagiert das SRT und setzt sich anhand der von Ihnen angegebenen Kontaktinformationen proaktiv mit Ihren Sicherheits- oder Betriebsteams in Verbindung. Das SRT analysiert Muster in Ihrem Datenverkehr und kann Ihre AWS WAF Regeln aktualisieren, um den Angriff zu blockieren.