Erkennungslogik für Bedrohungen auf Infrastrukturebene - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erkennungslogik für Bedrohungen auf Infrastrukturebene

Die Erkennungslogik, die verwendet wird, um gezielte AWS Ressourcen vor DDoS-Angriffen in den Infrastrukturebenen (Schicht 3 und Schicht 4) zu schützen, hängt vom Ressourcentyp ab und davon, ob die Ressource geschützt ist. AWS Shield Advanced

Erkennung für Amazon CloudFront und Amazon Route 53

Wenn Sie Ihre Webanwendung mit CloudFront und Route 53 bereitstellen, werden alle Pakete an die Anwendung von einem vollständig integrierten DDoS-Abwehrsystem überprüft, das keine beobachtbare Latenz verursacht. DDoS-Angriffe auf CloudFront Distributionen und auf Route 53 gehostete Zonen werden in Echtzeit abgewehrt. Diese Schutzmaßnahmen gelten unabhängig davon, ob Sie sie verwenden. AWS Shield Advanced

Verwenden CloudFront Sie nach Möglichkeit die bewährte Methode, Route 53 als Einstiegspunkt für Ihre Webanwendung zu verwenden, um DDoS-Ereignisse so schnell wie möglich zu erkennen und zu bekämpfen.

Erkennung für AWS Global Accelerator und regionale Dienste

Die Erkennung auf Ressourcenebene schützt AWS Global Accelerator Standardbeschleuniger und Ressourcen, die in AWS Regionen eingeführt werden, wie Classic Load Balancers, Application Load Balancers und Elastic IP-Adressen (EIPs). Diese Ressourcentypen werden im Hinblick auf Datenverkehrserhöhungen überwacht, die auf das Vorhandensein eines DDoS-Angriffs hinweisen könnten, für den eine Abwehr erforderlich ist. Jede Minute wird der Verkehr zu jeder AWS Ressource ausgewertet. Wenn der Verkehr zu einer Ressource erhöht ist, werden zusätzliche Prüfungen durchgeführt, um die Kapazität der Ressource zu messen.

Shield führt die folgenden Standardprüfungen durch:

  • Amazon Elastic Compute Cloud (Amazon EC2) -Instances, EIPs, die an Amazon EC2 EC2-Instances angehängt sind — Shield ruft Kapazität von der geschützten Ressource ab. Die Kapazität hängt vom Instance-Typ, der Instance-Größe und anderen Faktoren des Ziels ab, z. B. davon, ob die Instance Enhanced Networking verwendet.

  • Classic Load Balancers und Application Load Balancers — Shield ruft Kapazität vom Ziel-Load Balancer-Knoten ab.

  • EIPs, die an Network Load Balancers angeschlossen sind — Shield ruft Kapazität vom Ziel-Load Balancer ab. Die Kapazität ist unabhängig von der Gruppenkonfiguration des Ziel-Load Balancers.

  • AWS Global Accelerator Standardbeschleuniger — Shield ruft Kapazität ab, die auf der Endpunktkonfiguration basiert.

Diese Bewertungen beziehen sich auf mehrere Dimensionen des Netzwerkverkehrs, z. B. auf Port und Protokoll. Wenn die Kapazität der Zielressource überschritten wird, führt Shield eine DDoS-Abwehr durch. Die von Shield eingeführten Abhilfemaßnahmen werden den DDoS-Verkehr reduzieren, ihn aber möglicherweise nicht beseitigen. Shield kann auch Abhilfemaßnahmen ergreifen, wenn ein Bruchteil der Kapazität der Ressource bei einer Verkehrsdimension überschritten wird, die mit bekannten DDoS-Angriffsvektoren übereinstimmt. Shield gewährt dieser Abwehr eine begrenzte Gültigkeitsdauer (TTL), die verlängert wird, solange der Angriff andauert.

Anmerkung

Von Shield vorgenommene Abhilfemaßnahmen reduzieren den DDoS-Verkehr, verhindern ihn aber möglicherweise nicht. Sie können Shield um Lösungen wie AWS Network Firewall oder eine On-Host-Firewall erweitern, iptables um zu verhindern, dass Ihre Anwendung Datenverkehr verarbeitet, der für Ihre Anwendung nicht gültig ist oder nicht von legitimen Endbenutzern generiert wurde.

Die erweiterten Schutzmaßnahmen von Shield erweitern die bestehenden Shield-Erkennungsaktivitäten um Folgendes:

  • Niedrigere Erkennungsschwellen — Shield Advanced legt Schutzmaßnahmen auf die Hälfte der berechneten Kapazität fest. Auf diese Weise können Angriffe, die langsam zunehmen, schneller abgewehrt und Angriffe, die eine mehrdeutigere volumetrische Signatur aufweisen, eingedämmt werden.

  • Schutz vor intermittierenden Angriffen — Shield Advanced platziert Abhilfemaßnahmen mit einer exponentiell steigenden Gültigkeitsdauer (TTL), die auf der Häufigkeit und Dauer der Angriffe basiert. Dadurch bleiben die Abwehrmaßnahmen länger wirksam, wenn eine Ressource häufig angegriffen wird und wenn ein Angriff in kurzen Ausbrüchen erfolgt.

  • Integritätsbasierte Erkennung — Wenn Sie eine Route 53-Zustandsprüfung mit einer geschützten Shield Advanced-Ressource verknüpfen, wird der Status der Integritätsprüfung in der Erkennungslogik verwendet. Wenn bei einem erkannten Ereignis die Integritätsprüfung fehlerfrei ist, muss Shield Advanced erst dann darauf vertrauen, dass es sich bei dem Ereignis um einen Angriff handelt, bevor eine Abwehr eingeleitet wird. Wenn der Gesundheitscheck stattdessen fehlerhaft ist, kann Shield Advanced eine Abhilfemaßnahme vornehmen, noch bevor das Vertrauen hergestellt wurde. Diese Funktion hilft dabei, Fehlalarme zu vermeiden und ermöglicht schnellere Reaktionen auf Angriffe, die Ihre Anwendung betreffen. Informationen zu Integritätsprüfungen mit Shield Advanced finden Sie unterGesundheitsbasierte Erkennung mithilfe von Gesundheitschecks.