AWS Shield Minderungslogik für Regionen AWS - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Shield Minderungslogik für Regionen AWS

Ressourcen, die in AWS Regionen gestartet werden, werden durch AWS Shield DDoS-Abwehrsysteme geschützt, die von Shield auf Ressourcenebene erkannt werden. Zu den regionalen Ressourcen gehören Elastic IPs (EIPs), Classic Load Balancers und Application Load Balancers.

Vor der Einführung einer Risikominderung identifiziert Shield die Zielressource und ihre Kapazität. Shield verwendet die Kapazität, um den maximalen Gesamtverkehr zu bestimmen, den seine Abhilfemaßnahmen für die Weiterleitung an die Ressource zulassen sollten. Zugriffskontrolllisten (ACLs) und andere Shaper im Rahmen der Abwehr können das zulässige Volumen für bestimmten Datenverkehr verringern, z. B. für Datenverkehr, der bekannten DDoS-Angriffsvektoren entspricht oder von dem nicht erwartet wird, dass er in großem Umfang übertragen wird. Dadurch wird der Umfang des Datenverkehrs, den die Abhilfemaßnahmen für UDP-Reflection-Angriffe oder für TCP-Verkehr mit TCP-SYN- oder FIN-Flags zulassen, weiter begrenzt.

Shield bestimmt die Kapazität und platziert die Abhilfemaßnahmen für jeden Ressourcentyp unterschiedlich.

  • Für eine Amazon EC2 EC2-Instance oder eine EIP, die an eine Amazon EC2 EC2-Instance angehängt ist, berechnet Shield die Kapazität auf der Grundlage des Instance-Typs und anderer Instance-Attribute, z. B. ob für die Instance Enhanced Networking aktiviert ist.

  • Für einen Application Load Balancer oder Classic Load Balancer berechnet Shield die Kapazität individuell für jeden Zielknoten des Load Balancers. Die Abwehr von DDoS-Angriffen für diese Ressourcen erfolgt durch eine Kombination aus Shield DDoS-Abwehr und automatischer Skalierung durch den Load Balancer. Wenn das Shield Response Team (SRT) an einem Angriff gegen eine Application Load Balancer- oder Classic Load Balancer Balancer-Ressource beteiligt ist, kann es die Skalierung als zusätzliche Schutzmaßnahme beschleunigen.

  • Shield berechnet die Kapazität für einige AWS Ressourcen auf der Grundlage der verfügbaren Kapazität der zugrunde liegenden AWS Infrastruktur. Zu diesen Ressourcentypen gehören Network Load Balancer (NLBs) und Ressourcen, die den Verkehr über Gateway Load Balancer weiterleiten oder. AWS Network Firewall

Anmerkung

Schützen Sie Ihre Network Load Balancer, indem Sie EIPs anhängen, die durch Shield Advanced geschützt sind. Sie können mit SRT zusammenarbeiten, um benutzerdefinierte Abhilfemaßnahmen zu erstellen, die auf dem erwarteten Datenverkehr und der Kapazität der zugrunde liegenden Anwendung basieren.

Wenn Shield eine Abwehr einführt, werden die anfänglichen Ratenbegrenzungen, die Shield in der Abwehrlogik definiert, gleichermaßen auf jedes Shield-DDoS-Abwehrsystem angewendet. Wenn Shield beispielsweise eine Risikominderung mit einem Limit von 100.000 Paketen pro Sekunde (pps) festlegt, werden zunächst 100.000 pps an jedem Standort zugelassen. Anschließend aggregiert Shield kontinuierlich Messwerte zur Risikominderung, um den tatsächlichen Verkehrsanteil zu ermitteln, und verwendet dieses Verhältnis, um das Ratenlimit für jeden Standort anzupassen. Dadurch werden Fehlalarme verhindert und sichergestellt, dass die Maßnahmen nicht zu großzügig sind.