So verwaltet Shield Advanced die automatische Schadensbegrenzung

In den Abschnitten wird beschrieben, wie Shield Advanced mit Ihren Konfigurationsänderungen für die automatische DDoS-Abwehr auf Anwendungsebene umgeht und wie es mit DDoS-Angriffen umgeht, wenn die automatische Abwehr aktiviert ist.

Was passiert, wenn Sie die automatische Abwehr aktivieren

Shield Advanced macht Folgendes, wenn Sie die automatische Schadensbegrenzung aktivieren:

• Fügt bei Bedarf eine Regelgruppe für die Verwendung von Shield Advanced hinzu — Wenn die AWS WAF Web-ACL, die Sie der Ressource zugeordnet haben, nicht bereits über eine AWS WAF Regelgruppenregel verfügt, die der automatischen DDoS-Abwehr auf Anwendungsebene gewidmet ist, fügt Shield Advanced eine hinzu.

  Der Name der Regelgruppenregel beginnt mit. ShieldMitigationRuleGroup Die Regelgruppe enthält immer eine ratenbasierte Regel mit dem NamenShieldKnownOffenderIPRateBasedRule, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Quellen von DDoS-Angriffen sind. Weitere Informationen zur Shield Advanced-Regelgruppe und der Web-ACL-Regel, die auf sie verweist, finden Sie unterDie Shield Advanced-Regelgruppe.

• Beginnt, auf DDoS-Angriffe gegen die Ressource zu reagieren — Shield Advanced reagiert automatisch auf DDoS-Angriffe für die geschützte Ressource. Zusätzlich zur ratenbasierten Regel, die immer vorhanden ist, verwendet Shield Advanced seine Regelgruppe, um benutzerdefinierte AWS WAF Regeln zur Abwehr von DDoS-Angriffen bereitzustellen. Shield Advanced passt diese Regeln an Ihre Anwendung und die Angriffe an, denen Ihre Anwendung ausgesetzt ist, und testet sie vor der Bereitstellung anhand des historischen Datenverkehrs der Ressource.

Shield Advanced verwendet eine einzige Regelgruppenregel in jeder Web-ACL, die Sie für die automatische Schadensbegrenzung verwenden. Wenn Shield Advanced die Regelgruppe für eine andere geschützte Ressource bereits hinzugefügt hat, fügt es der Web-ACL keine weitere Regelgruppe hinzu.

Die automatische Abwehr von DDoS-Angriffen auf Anwendungsebene hängt vom Vorhandensein der Regelgruppe ab. Wenn die Regelgruppe aus irgendeinem Grund aus der AWS WAF Web-ACL entfernt wird, deaktiviert das Entfernen die automatische Abwehr für alle Ressourcen, die der Web-ACL zugeordnet sind.

Wie Shield Advanced mit automatischer Abwehr auf DDoS-Angriffe reagiert

Wenn Sie die automatische Abwehr für eine geschützte Ressource aktiviert haben, reagiert die ratenbasierte Regel ShieldKnownOffenderIPRateBasedRule in der Shield Advanced-Regelgruppe automatisch auf erhöhte Datenverkehrsmengen aus bekannten DDoS-Quellen. Diese Ratenbegrenzung wird schnell angewendet und dient als Schutz an vorderster Front gegen Angriffe.

Wenn Shield Advanced einen Angriff erkennt, geht es wie folgt vor:

1. Versucht, eine Angriffssignatur zu identifizieren, die den Angriffsverkehr vom normalen Datenverkehr zu Ihrer Anwendung isoliert. Ziel ist es, hochwertige Regeln zur DDoS-Abwehr zu erstellen, die, wenn sie eingeführt werden, nur den Angriffsverkehr betreffen und den normalen Datenverkehr zu Ihrer Anwendung nicht beeinträchtigen.

2. Vergleicht die identifizierte Angriffssignatur anhand der historischen Datenverkehrsmuster für die angegriffene Ressource sowie für alle anderen Ressourcen, die derselben Web-ACL zugeordnet sind. Shield Advanced tut dies, bevor es irgendwelche Regeln als Reaktion auf das Ereignis einsetzt.

   Abhängig von den Evaluierungsergebnissen führt Shield Advanced eine der folgenden Aktionen aus:

   • Wenn Shield Advanced feststellt, dass die Angriffssignatur nur den Datenverkehr isoliert, der an dem DDoS-Angriff beteiligt ist, implementiert Shield Advanced die Signatur in AWS WAF Regeln in der Regelgruppe Shield Advanced-Mitigation in der Web-ACL. Shield Advanced gibt diesen Regeln die Aktionseinstellung, die Sie für die automatische Risikominderung der Ressource konfiguriert haben — entweder Count oderBlock.

   • Andernfalls führt Shield Advanced keine Abschwächung durch.

Während eines Angriffs sendet Shield Advanced dieselben Benachrichtigungen und stellt dieselben Ereignisinformationen bereit wie für grundlegende Shield Advanced-Schutzmaßnahmen auf Anwendungsebene. Sie können die Informationen über Ereignisse und DDoS-Angriffe sowie über alle Shield Advanced-Abhilfemaßnahmen für Angriffe in der Shield Advanced-Ereigniskonsole einsehen. Weitere Informationen finden Sie unter Einblick in DDoS-Ereignisse.

Wenn Sie die automatische Schadensbegrenzung so konfiguriert haben, dass sie die Block Regelaktion verwendet, und Sie aufgrund der von Shield Advanced bereitgestellten Risikominderungsregeln Fehlalarme erhalten, können Sie die Regelaktion in ändern. Count Informationen dazu finden Sie unter. Änderung der Aktion, die für die automatische DDoS-Abwehr auf Anwendungsebene verwendet wird

So verwaltet Shield Advanced die Einstellung für Regelaktionen

Sie können die Regelaktion für Ihre automatischen Abhilfemaßnahmen auf Block oder festlegen. Count

Wenn Sie die Aktionseinstellung der automatischen Schadensbegrenzungsregel für eine geschützte Ressource ändern, aktualisiert Shield Advanced alle Regeleinstellungen für die Ressource. Es aktualisiert alle Regeln, die derzeit für die Ressource in der Shield Advanced-Regelgruppe gelten, und verwendet die neue Aktionseinstellung, wenn es neue Regeln erstellt.

Wenn Sie für Ressourcen, die dieselbe Web-ACL verwenden, unterschiedliche Aktionen angeben, verwendet Shield Advanced die Block Aktionseinstellung für die ratenbasierte Regel der Regelgruppe. ShieldKnownOffenderIPRateBasedRule Shield Advanced erstellt und verwaltet andere Regeln in der Regelgruppe im Namen einer bestimmten geschützten Ressource und verwendet die Aktionseinstellung, die Sie für die Ressource angegeben haben. Alle Regeln in der Shield Advanced-Regelgruppe in einer Web-ACL werden auf den Webverkehr aller zugehörigen Ressourcen angewendet.

Es kann einige Sekunden dauern, bis die Änderung der Aktionseinstellung wirksam wird. Während dieser Zeit werden Sie möglicherweise an einigen Stellen, an denen die Regelgruppe verwendet wird, die alte Einstellung und an anderen Stellen die neue Einstellung sehen.

Sie können die Einstellung für die Regelaktion für Ihre automatische Schadensbegrenzungskonfiguration auf der Ereignisseite der Konsole und auf der Konfigurationsseite der Anwendungsebene ändern. Informationen zur Seite „Ereignisse“ finden Sie unterReagieren auf DDoS-Ereignisse. Informationen zur Konfigurationsseite finden Sie unterKonfigurieren Sie den DDoS-Schutz auf Anwendungsebene.

So verwaltet Shield Advanced Abhilfemaßnahmen, wenn ein Angriff nachlässt

Wenn Shield Advanced feststellt, dass Minderungsregeln, die für einen bestimmten Angriff eingesetzt wurden, nicht mehr benötigt werden, werden sie aus der Shield Advanced-Regelgruppe zur Schadensbegrenzung entfernt.

Das Entfernen von Regeln zur Schadensbegrenzung wird nicht unbedingt mit dem Ende eines Angriffs zusammenfallen. Shield Advanced überwacht Angriffsmuster, die es auf Ihren geschützten Ressourcen erkennt. Es kann sich proaktiv gegen die Wiederholung eines Angriffs mit einer bestimmten Signatur schützen, indem es die Regeln beibehält, die es gegen das erste Auftreten dieses Angriffs angewendet hat. Bei Bedarf verlängert Shield Advanced das Zeitfenster, in dem die Regeln eingehalten werden. Auf diese Weise kann Shield Advanced wiederholte Angriffe mit einer bestimmten Signatur abwehren, bevor sie sich auf Ihre geschützten Ressourcen auswirken.

Shield Advanced entfernt niemals die ratenbasierte RegelShieldKnownOffenderIPRateBasedRule, die das Volumen der Anfragen von IP-Adressen begrenzt, von denen bekannt ist, dass sie Quellen von DDoS-Angriffen sind.

Was passiert, wenn Sie die automatische Abwehr deaktivieren

Shield Advanced macht Folgendes, wenn Sie die automatische Schadensbegrenzung für eine Ressource deaktivieren:

• Reagiert nicht mehr automatisch auf DDoS-Angriffe — Shield Advanced stellt seine automatischen Reaktionsaktivitäten für die Ressource ein.

• Entfernt nicht benötigte Regeln aus der Shield Advanced-Regelgruppe — Wenn Shield Advanced Regeln in seiner verwalteten Regelgruppe im Namen der geschützten Ressource verwaltet, werden sie entfernt.

• Entfernt die Shield Advanced-Regelgruppe, wenn sie nicht mehr verwendet wird — Wenn die Web-ACL, die Sie der Ressource zugeordnet haben, keiner anderen Ressource zugeordnet ist, für die automatische Schadensbegrenzung aktiviert ist, entfernt Shield Advanced ihre Regelgruppenregel aus der Web-ACL.