AWS Firewall ManagerAWS Shield Advanced Richtlinien einrichten - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Schritt 1: Erfüllung der VoraussetzungenSchritt 2: Erstellen und Anwenden einer Shield Advanced-RichtlinieSchritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Firewall ManagerAWS Shield Advanced Richtlinien einrichten

Sie können sie verwenden AWS Firewall Manager , um AWS Shield Advanced Schutzmaßnahmen in Ihrer gesamten Organisation zu aktivieren.

Wichtig

Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in AWS Ressourcen AWS Shield Advanced schützen.

Um den Firewall Manager zur Aktivierung des Shield Advanced-Schutzes zu verwenden, führen Sie die folgenden Schritte nacheinander aus.

Schritt 1: Erfüllung der Voraussetzungen

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in AWS Firewall Manager Voraussetzungen beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie fortfahren.

Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager Shield Advanced-Richtlinie. Eine Firewall Manager Shield Advanced-Richtlinie enthält die Konten und Ressourcen, die Sie mit Shield Advanced schützen möchten.

Wichtig

Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in AWS Ressourcen AWS Shield Advanced schützen.

So erstellen Sie eine Firewall Manager Shield Advanced-Richtlinie (Konsole)

  1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

    Anmerkung

    Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

  2. Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

  3. Wählen Sie Create Policy (Richtlinie erstellen) aus.

  4. Wählen Sie als Richtlinientyp Shield Advanced aus.

    Um eine Shield Advanced-Richtlinie zu erstellen, muss Ihr Firewall Manager Manager-Administratorkonto Shield Advanced abonniert haben. Wenn Sie kein Abonnement eingerichtet haben, werden Sie dazu aufgefordert. Informationen zu den Kosten für ein Abonnement finden Sie unter AWS Shield Advanced Preise.

    Anmerkung

    Sie müssen nicht jedes Mitgliedskonto manuell für Shield Advanced abonnieren. Firewall Manager erledigt dies für Sie, wenn er die Richtlinie erstellt. Jedes Konto muss weiterhin für Firewall Manager und Shield Advanced abonniert bleiben, um die Ressourcen im Konto weiterhin zu schützen.

  5. Wählen Sie für Region eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie Global.

    Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

  6. Wählen Sie Weiter.

  7. Geben Sie unter Name einen aussagekräftigen Namen ein.

  8. (Nur globale Region) Bei Richtlinien für globale Regionen können Sie wählen, ob Sie die automatische Abwehr der Anwendungsschicht DDo S mit Shield Advanced verwalten möchten. Behalten Sie für dieses Tutorial die Standardeinstellung Ignorieren für diese Auswahl bei.

  9. Wählen Sie unter Richtlinienaktion die Option aus, die nicht automatisch behoben wird.

  10. Wählen Sie Weiter.

  11. AWS-Konten Mit dieser Richtlinie können Sie den Geltungsbereich Ihrer Richtlinie einschränken, indem Sie Konten angeben, die ein- oder ausgeschlossen werden sollen. In diesem Tutorial wählen Sie Include all accounts under my organization (Alle Konten in meiner Organisation einschließen).

  12. Wählen Sie die Ressourcentypen aus, die geschützt werden sollen.

    Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen von Shield Advanced unterAWS Ressourcen AWS Shield Advanced schützen.

  13. Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unterDen Geltungsbereich der AWS Firewall Manager Richtlinie verwenden.

    Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

  14. Wählen Sie Weiter.

  15. Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

  16. Wählen Sie Weiter.

  17. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

    Stellen Sie sicher, dass Policy actions (Richtlinienaktionen) auf Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren) festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren.

  18. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen).

    Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Fahren Sie fort mit Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT).

Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)

Einer der Vorteile von AWS Shield Advanced ist die Unterstützung durch das Shield Response Team (SRT). Wenn Sie einen potenziellen DDo S-Angriff erleben, können Sie sich an das AWS -Support Center wenden. Falls erforderlich, leitet das Support Center Ihr Problem an das SRT weiter. Das SRT hilft Ihnen bei der Analyse der verdächtigen Aktivitäten und unterstützt Sie bei der Behebung des Problems. Diese Abhilfemaßnahme beinhaltet häufig die Erstellung oder Aktualisierung von AWS WAF Regeln und Websites ACLs in Ihrem Konto. Das SRT kann Ihre AWS WAF Konfiguration überprüfen und AWS WAF Regeln und das Web ACLs für Sie erstellen oder aktualisieren, aber das Team benötigt dafür Ihre Genehmigung. Wir empfehlen, dass Sie dem SRT im Rahmen der Einrichtung AWS Shield Advanced proaktiv die erforderlichen Autorisierungen erteilen. Die frühzeitige Autorisierung verhindert Verzögerungen bei der Problembehebung im Fall eines tatsächlichen Angriffs.

Sie autorisieren und kontaktieren das SRT auf Kontoebene. Das heißt, der Kontoinhaber, nicht der Firewall Manager Manager-Administrator, muss die folgenden Schritte ausführen, um das SRT zur Abwehr potenzieller Angriffe zu autorisieren. Der Firewall Manager Manager-Administrator kann die SRT nur für Konten autorisieren, deren Eigentümer er ist. Ebenso kann nur der Kontoinhaber das SRT kontaktieren, um Support zu erhalten.

Anmerkung

Um die Dienste des SRT nutzen zu können, müssen Sie den Business Support Plan oder den Enterprise Support Plan abonniert haben.

Um das SRT zu autorisieren, potenzielle Angriffe in Ihrem Namen abzuwehren, folgen Sie den Anweisungen unter. Verwaltete Reaktion auf DDo S-Ereignisse mit Unterstützung des Shield Response Team (SRT) Sie können den SRT-Zugriff und die Berechtigungen jederzeit ändern, indem Sie dieselben Schritte ausführen.

Fahren Sie fort mit Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch .

Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch

Sie können mit diesem Schritt fortfahren, ohne Amazon SNS SNS-Benachrichtigungen oder CloudWatch -Alarme zu konfigurieren. Die Konfiguration dieser Alarme und Benachrichtigungen erhöht jedoch Ihren Überblick über mögliche DDo S-Ereignisse erheblich.

Mit Amazon SNS können Sie Ihre geschützten Ressourcen auf potenzielle DDo S-Aktivitäten überwachen. Um Benachrichtigungen über mögliche Angriffe zu erhalten, erstellen Sie für jede Region ein Amazon SNS SNS-Thema.

Wichtig

Amazon SNS SNS-Benachrichtigungen über potenzielle DDo S-Aktivitäten werden nicht in Echtzeit gesendet und können verzögert werden. Um Benachrichtigungen in Echtzeit über potenzielle DDo S-Aktivitäten zu aktivieren, können Sie einen CloudWatch Alarm verwenden. Ihr Alarm muss auf der DDoSDetected Metrik des Kontos basieren, in dem die geschützte Ressource vorhanden ist.

Um ein Amazon SNS SNS-Thema in Firewall Manager (Konsole) zu erstellen

  1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

    Anmerkung

    Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

  2. Wählen Sie im Navigationsbereich unter AWS FMS die Option Einstellungen aus.

  3. Wählen Sie Create new topic (Neues Thema erstellen).

  4. Geben Sie einen Themennamen ein.

  5. Geben Sie eine E-Mail-Adresse ein, an die die Amazon SNS SNS-Nachrichten gesendet werden, und wählen Sie dann E-Mail-Adresse hinzufügen.

  6. Wählen Sie Update SNS configuration (SNS-Konfiguration aktualisieren).

Konfiguration von CloudWatch Amazon-Alarmen

Shield Advanced zeichnet Kennzahlen zur Erkennung, Abwehr und wichtigsten Mitwirkenden auf CloudWatch , die Sie überwachen können. Weitere Informationen finden Sie unter. AWS Shield Advanced Metriken CloudWatch verursacht zusätzliche Kosten. CloudWatch Die Preise finden Sie unter CloudWatch Amazon-Preise.

Um einen CloudWatch Alarm zu erstellen, folgen Sie den Anweisungen unter Amazon CloudWatch Alarms verwenden. Standardmäßig ist Shield Advanced so konfiguriert, CloudWatch dass Sie nach nur einem Hinweis auf ein potenzielles DDo S-Ereignis gewarnt werden. Bei Bedarf können Sie die CloudWatch -Konsole verwenden, um diese Einstellung zu ändern, damit Sie erst benachrichtigt werden, wenn mehrere Indikatoren erkannt wurden.

Anmerkung

Zusätzlich zu den Alarmen können Sie auch ein CloudWatch Dashboard verwenden, um potenzielle DDo S-Aktivitäten zu überwachen. Das Dashboard sammelt und verarbeitet Rohdaten von Shield Advanced in lesbare Metriken, die nahezu in Echtzeit verfügbar sind. Sie können Statistiken in Amazon verwenden CloudWatch , um sich einen Überblick über die Leistung Ihrer Webanwendung oder Ihres Dienstes zu verschaffen. Weitere Informationen finden Sie unter Was steht CloudWatch im CloudWatch Amazon-Benutzerhandbuch.

Anweisungen zum Erstellen eines CloudWatch Dashboards finden Sie unterÜberwachung mit Amazon CloudWatch. Informationen zu bestimmten Shield Advanced-Metriken, die Sie Ihrem Dashboard hinzufügen können, finden Sie unterAWS Shield Advanced Metriken.

Wenn Sie Ihre Shield Advanced-Konfiguration abgeschlossen haben, machen Sie sich mit Ihren Optionen für die Anzeige von Ereignissen unter vertrautEinblick in DDo S-Ereignisse mit Shield Advanced.