Erkennung und Schadensbegrenzung

In diesem Abschnitt werden die Faktoren beschrieben, die die Erkennung und Abwehr von Ereignissen auf Anwendungsebene durch Shield Advanced beeinflussen.

Health checks (Zustandsprüfungen)

Integritätsprüfungen, die den Gesamtzustand Ihrer Anwendung genau melden, liefern Shield Advanced Informationen über die Verkehrsbedingungen, denen Ihre Anwendung ausgesetzt ist. Shield Advanced benötigt weniger Informationen, die auf einen potenziellen Angriff hinweisen, wenn Ihre Anwendung als fehlerhaft gemeldet wird, und es werden mehr Beweise für einen Angriff benötigt, wenn Ihre Anwendung als fehlerfrei gemeldet wird.

Es ist wichtig, dass Sie Ihre Integritätsprüfungen so konfigurieren, dass sie den Zustand der Anwendung korrekt melden. Weitere Informationen und Anleitungen finden Sie unterGesundheitsbasierte Erkennung mithilfe von Gesundheitschecks.

Ausgangswerte für den Verkehr

Verkehrs-Baselines geben Shield Advanced Informationen über die Eigenschaften des normalen Datenverkehrs für Ihre Anwendung. Shield Advanced verwendet diese Baselines, um zu erkennen, wenn Ihre Anwendung keinen normalen Datenverkehr empfängt. Auf diese Weise kann es Sie benachrichtigen und, wie konfiguriert, mit der Entwicklung und dem Testen von Abwehroptionen beginnen, um einem potenziellen Angriff entgegenzuwirken. Weitere Informationen darüber, wie Shield Advanced Verkehrsbaselines verwendet, um potenzielle Ereignisse zu erkennen, finden Sie im Abschnitt Übersicht. Erkennungslogik für Bedrohungen auf Anwendungsebene

Shield Advanced erstellt seine Baselines anhand von Informationen, die von der Web-ACL bereitgestellt werden, die der geschützten Ressource zugeordnet ist. Die Web-ACL muss mindestens 24 Stunden und bis zu 30 Tage mit der Ressource verknüpft sein, bevor Shield Advanced die Baselines der Anwendung zuverlässig ermitteln kann. Die benötigte Zeit beginnt, wenn Sie die Web-ACL zuordnen, entweder über Shield Advanced oder über AWS WAF.

Weitere Informationen zur Verwendung einer Web-ACL mit Ihrem Shield Advanced-Schutz auf Anwendungsebene finden Sie unterAWS WAF Web ACLs - und ratenbasierte Regeln auf Anwendungsebene von Shield Advanced.

Ratenbasierte Regeln

Ratenbasierte Regeln können zur Abwehr von Angriffen beitragen. Sie können Angriffe auch verschleiern, indem sie sie abwehren, bevor sie zu einem Problem werden, das groß genug ist, um in normalen Datenverkehrsdaten oder in Statusberichten zum Status von Gesundheitschecks aufzutauchen.

Wir empfehlen, ratenbasierte Regeln in Ihrer Web-ACL zu verwenden, wenn Sie eine Anwendungsressource mit Shield Advanced schützen. Auch wenn ihre Abwehr einen potenziellen Angriff verdecken kann, stellen sie eine wertvolle erste Verteidigungslinie dar und tragen dazu bei, dass Ihre Anwendung Ihren legitimen Kunden weiterhin zur Verfügung steht. Der Traffic, den Ihre tarifbasierten Regeln erkennen, und das Ratenlimit sind in Ihren Kennzahlen sichtbar. AWS WAF

Wenn Sie die automatische DDoS-Abwehr auf Anwendungsebene aktivieren, fügt Shield Advanced Ihrer Web-ACL zusätzlich zu Ihren eigenen ratenbasierten Regeln eine Regelgruppe hinzu, die zur Abwehr von Angriffen verwendet wird. In dieser Regelgruppe verfügt Shield Advanced immer über eine ratenbasierte Regel, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Quellen von DDoS-Angriffen sind. Metriken für den Verkehr, den die Shield Advanced-Regeln abschwächen, können Sie nicht einsehen.

Weitere Informationen zu ratenbasierten Regeln finden Sie unter. Verwendung ratenbasierter Regelanweisungen in AWS WAF Informationen zu der ratenbasierten Regel, die Shield Advanced für die automatische DDoS-Abwehr auf Anwendungsebene verwendet, finden Sie unter. Die Shield Advanced-Regelgruppe

Weitere Informationen zu Shield Advanced und AWS WAF Metriken finden Sie unterÜberwachung mit Amazon CloudWatch.