AWS Shield Advanced Richtlinien - AWS WAF, AWS Firewall Manager, und AWS Shield Advanced
So verwaltet Firewall Manager nicht verknüpfte Web-ACLsÄnderungen des Geltungsbereichs der Shield Advanced-RichtlinienAutomatische Abwehr auf AnwendungsebeneErmitteln der Version von, die von einer Shield Advanced-Richtlinie AWS WAF verwendet wird

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Shield Advanced Richtlinien

In einer Firewall Manager AWS Shield Manager-Richtlinie wählen Sie die Ressourcen aus, die Sie schützen möchten. Wenn Sie die Richtlinie mit aktivierter auto Korrektur anwenden, ordnet Firewall Manager für jede Ressource im Geltungsbereich, die noch keiner AWS WAF Web-ACL zugeordnet ist, eine leere AWS WAF Web-ACL zu. Die leere Web-ACL wird für Shield-Überwachungszwecke verwendet. Wenn Sie der Ressource dann eine andere Web-ACL zuordnen, entfernt Firewall Manager die leere Web-ACL-Zuordnung.

Anmerkung

Wenn eine Ressource, die in den Geltungsbereich einer AWS WAF Richtlinie fällt, in den Geltungsbereich einer Shield Advanced-Richtlinie fällt, die mit automatischer DDoS-Abwehr auf Anwendungsebene konfiguriert ist, wendet Firewall Manager den Shield Advanced-Schutz erst an, nachdem die durch die Richtlinie erstellte Web-ACL zugeordnet wurde. AWS WAF

So werden nicht verknüpfte Web-ACLs in Shield-Richtlinien AWS Firewall Manager verwaltet

Sie können über die Einstellung Nicht verknüpfte Web-ACLs verwalten in Ihrer Richtlinie oder über die Einstellung im SecurityServicePolicyDataDatentyp in der API konfigurieren, ob Firewall Manager nicht verknüpfte Web-ACLs für Sie verwaltet. optimizeUnassociatedWebACLs Wenn Sie die Verwaltung nicht zugeordneter Web-ACLs in Ihrer Richtlinie aktivieren, erstellt Firewall Manager Web-ACLs in den Konten innerhalb des Richtlinienbereichs nur, wenn die Web-ACLs von mindestens einer Ressource verwendet werden. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch eine Web-ACL in dem Konto, sofern mindestens eine Ressource die Web-ACL verwendet.

Wenn Sie die Verwaltung nicht verknüpfter Web-ACLs aktivieren, führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Web-ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Ressource nicht von der Web-ACL. Wenn Sie möchten, dass Firewall Manager die Web-ACL bereinigt, müssen Sie zuerst die Ressourcen manuell von der Web-ACL trennen und dann die Option Nicht zugeordnete Web-ACLs verwalten in Ihrer Richtlinie aktivieren.

Wenn Sie diese Option nicht aktivieren, verwaltet Firewall Manager keine nicht verknüpften Web-ACLs, und Firewall Manager erstellt automatisch eine Web-ACL für jedes Konto, das innerhalb des Richtlinienbereichs liegt.

Wie geht man AWS Firewall Manager mit Umfangsänderungen der Shield-Richtlinien um?

Konten und Ressourcen können aufgrund einer Reihe von Änderungen, wie z. B. Änderungen an den Einstellungen des Richtlinienbereichs, Änderungen an den Tags auf einer Ressource und der Entfernung eines Kontos aus einer Organisation, den Geltungsbereich einer AWS Firewall Manager Shield Advanced-Richtlinie verlassen. Allgemeine Informationen zu den Einstellungen für den Geltungsbereich von Richtlinien finden Sie unterAWS Firewall Manager Geltungsbereich der Politik.

Bei einer AWS Firewall Manager Shield Advanced-Richtlinie beendet Firewall Manager die Überwachung des Kontos oder der Ressource, wenn ein Konto oder eine Ressource den Gültigkeitsbereich überschreitet.

Wenn ein Konto nicht mehr gültig ist, weil es aus der Organisation entfernt wird, wird es weiterhin Shield Advanced abonniert. Da das Konto nicht mehr Teil der konsolidierten Fakturierungsfamilie ist, fällt für das Konto eine anteilige Shield Advanced-Abonnementgebühr an. Auf der anderen Seite fallen für ein Konto, das nicht mehr in den Geltungsbereich fällt, aber in der Organisation verbleibt, keine zusätzlichen Gebühren an.

Wenn eine Ressource den Geltungsbereich überschreitet, wird sie weiterhin durch Shield Advanced geschützt und es fallen weiterhin Shield Advanced-Datenübertragungsgebühren an.

Automatische DDoS-Abwehr auf Anwendungsebene

Wenn Sie eine Shield Advanced-Richtlinie auf CloudFront Amazon-Distributionen oder Application Load Balancers anwenden, haben Sie die Möglichkeit, die automatische DDoS-Abwehr von Shield Advanced auf Anwendungsebene in der Richtlinie zu konfigurieren.

Informationen zur automatischen Abwehr von Shield Advanced finden Sie unterShield Advanced automatische DDoS-Abwehr auf Anwendungsebene.

Für die automatische DDoS-Abwehr auf Anwendungsebene von Shield Advanced gelten die folgenden Anforderungen:

  • Die automatische DDoS-Abwehr auf Anwendungsebene funktioniert nur mit CloudFront Amazon-Distributionen und Application Load Balancers.

    Wenn Sie Ihre Shield Advanced-Richtlinie auf CloudFront Amazon-Distributionen anwenden, können Sie diese Option für Shield Advanced-Richtlinien wählen, die Sie für die globale Region erstellen. Wenn Sie Schutzmaßnahmen auf Application Load Balancers anwenden, können Sie die Richtlinie auf jede Region anwenden, die Firewall Manager unterstützt.

  • Die automatische DDoS-Abwehr auf Anwendungsebene funktioniert nur mit Web-ACLs, die mit der neuesten Version von (v2) erstellt wurden. AWS WAF

    Aus diesem Grund müssen Sie, wenn Sie über eine Richtlinie verfügen, die AWS WAF klassische Web-ACLs verwendet, entweder die Richtlinie durch eine neue Richtlinie ersetzen, die automatisch die neueste Version von verwendet AWS WAF, oder Firewall Manager eine neue Version von Web-ACLs für Ihre bestehende Richtlinie erstellen lassen und zu deren Verwendung wechseln. Weitere Informationen zu diesen Optionen finden Sie unter Ersetzen Sie AWS WAF klassische Web-ACLs durch Web-ACLs der neuesten Version.

Konfiguration der automatischen Schadensbegrenzung

Die Option zur automatischen DDoS-Abwehr auf Anwendungsebene für Firewall Manager Shield Advanced-Richtlinien wendet die automatische Abwehr von Shield Advanced auf die Konten und Ressourcen Ihrer Richtlinie an, die in den Geltungsbereich Ihrer Richtlinie fallen. Ausführliche Informationen zu dieser Shield Advanced-Funktion finden Sie unterShield Advanced automatische DDoS-Abwehr auf Anwendungsebene.

Sie können wählen, ob Firewall Manager die automatische Risikominderung für die CloudFront Distributionen oder Application Load Balancer aktiviert oder deaktiviert, die in den Geltungsbereich der Richtlinie fallen, oder Sie können festlegen, dass die Richtlinie die automatischen Risikominderungseinstellungen von Shield Advanced ignoriert:

  • Aktivieren — Wenn Sie die automatische Abwehr aktivieren möchten, geben Sie auch an, ob bei der Abwehr von Shield Advanced-Regeln übereinstimmende Webanfragen gezählt oder blockiert werden sollen. Firewall Manager markiert Ressourcen im Geltungsbereich als nicht konform, wenn für sie entweder keine automatische Schadensbegrenzung aktiviert ist oder wenn sie eine Regelaktion verwenden, die nicht der von Ihnen für die Richtlinie angegebenen entspricht. Wenn Sie die Richtlinie für die automatische Behebung konfigurieren, aktualisiert Firewall Manager nicht konforme Ressourcen nach Bedarf.

  • Deaktivieren — Wenn Sie sich dafür entscheiden, die automatische Risikominderung zu deaktivieren, markiert Firewall Manager Ressourcen im Geltungsbereich als nicht konform, wenn für sie die automatische Risikominderung aktiviert ist. Wenn Sie die Richtlinie für die automatische Behebung konfigurieren, aktualisiert Firewall Manager nicht konforme Ressourcen nach Bedarf.

  • Ignorieren — Wenn Sie sich dafür entscheiden, die automatische Risikominderung zu ignorieren, berücksichtigt Firewall Manager keine der Einstellungen für die automatische Risikominderung in Ihrer Shield-Richtlinie, wenn er Behebungsaktivitäten für die Richtlinie durchführt. Mit dieser Einstellung können Sie die automatische Abwehr über Shield Advanced steuern, ohne dass diese Einstellungen vom Firewall Manager überschrieben werden. Diese Einstellung gilt nicht für Classic Load Balancer- oder Elastic IP-Ressourcen, die über Shield Advanced verwaltet werden, da Shield Advanced derzeit keine automatische L7-Abwehr für diese Ressourcen unterstützt.

Ersetzen Sie AWS WAF klassische Web-ACLs durch Web-ACLs der neuesten Version

Die automatische DDoS-Abwehr auf Anwendungsebene funktioniert nur mit Web-ACLs, die mit der neuesten Version von AWS WAF (v2) erstellt wurden.

Informationen zur Bestimmung der Web-ACL-Version für Ihre Shield Advanced-Richtlinie finden Sie unterErmitteln der Version AWS WAF , die von einer Shield Advanced-Richtlinie verwendet wird.

Wenn Sie die automatische Abwehr in Ihrer Shield Advanced-Richtlinie verwenden möchten und Ihre Richtlinie derzeit AWS WAF klassische Web-ACLs verwendet, können Sie entweder eine neue Shield Advanced-Richtlinie erstellen, die Ihre aktuelle ersetzt, oder Sie können die in diesem Abschnitt beschriebenen Optionen verwenden, um Web-ACLs früherer Versionen durch neue (v2) Web-ACLs innerhalb Ihrer aktuellen Shield Advanced-Richtlinie zu ersetzen. Neue Richtlinien erstellen Web-ACLs immer mit der neuesten Version von. AWS WAF Wenn Sie die gesamte Richtlinie ersetzen und sie löschen, können Sie festlegen, dass Firewall Manager auch alle Web-ACLs der früheren Version löscht. Im Rest dieses Abschnitts werden Ihre Optionen zum Ersetzen der Web-ACLs innerhalb Ihrer bestehenden Richtlinie beschrieben.

Wenn Sie eine bestehende Shield Advanced-Richtlinie für CloudFront Amazon-Ressourcen ändern, kann Firewall Manager automatisch eine neue leere AWS WAF (v2) Web-ACL für die Richtlinie erstellen, und zwar für jedes Konto im Geltungsbereich, das noch nicht über eine v2-Web-ACL verfügt. Wenn Firewall Manager eine neue Web-ACL erstellt und die Richtlinie bereits über eine AWS WAF klassische Web-ACL in demselben Konto verfügt, konfiguriert Firewall Manager die Web-ACL der neuen Version mit derselben Standardaktionseinstellung wie die vorhandene Web-ACL. Wenn keine AWS WAF klassische Web-ACL vorhanden ist, legt Firewall Manager die Standardaktion Allow in der neuen Web-ACL auf fest. Nachdem Firewall Manager eine neue Web-ACL erstellt hat, können Sie sie über die AWS WAF Konsole nach Bedarf anpassen.

Wenn Sie eine der folgenden Richtlinienkonfigurationsoptionen wählen, erstellt Firewall Manager neue (v2) Web-ACLs für in den Geltungsbereich fallende Konten, für die sie noch nicht vorhanden sind:

  • Wenn Sie die automatische DDoS-Abwehr auf Anwendungsebene aktivieren oder deaktivieren. Diese Wahl allein veranlasst den Firewall Manager lediglich, die neuen Web-ACLs zu erstellen und keine vorhandenen AWS WAF klassischen Web-ACLs auf den Ressourcen zu ersetzen, die in den Geltungsbereich der Richtlinie fallen.

  • Wenn Sie sich für die Richtlinienaktion „Automatische Wiederherstellung“ entscheiden und die Option wählen, AWS WAF klassische Web-ACLs durch AWS WAF (v2) -Web-ACLs zu ersetzen. Sie können wählen, ob Sie Web-ACLs früherer Versionen unabhängig von Ihren Konfigurationsoptionen für die automatische DDoS-Abwehr auf Anwendungsebene ersetzen möchten.

    Wenn Sie die Ersatzoption wählen, erstellt Firewall Manager die Web-ACLs der neuen Version nach Bedarf und führt dann die folgenden Schritte für die in den Geltungsbereich der Richtlinie fallenden Ressourcen aus:

    • Wenn eine Ressource mit einer Web-ACL aus einer anderen aktiven Firewall Manager-Richtlinie verknüpft ist, lässt Firewall Manager die Zuordnung unverändert.

    • In allen anderen Fällen entfernt Firewall Manager jegliche Zuordnung zu einer AWS WAF klassischen Web-ACL und ordnet die Ressource der Web-ACL AWS WAF (v2) der Richtlinie zu.

Sie können festlegen, dass Firewall Manager die Web-ACLs der früheren Version durch die Web-ACLs der neuen Version ersetzt, wenn Sie möchten. Wenn Sie die AWS WAF klassischen Web-ACLs der Richtlinie zuvor angepasst haben, können Sie die Web-ACLs der neuen Version auf vergleichbare Einstellungen aktualisieren, bevor Sie festlegen, dass Firewall Manager den Schritt zum Ersetzen durchführt.

Sie können auf beide Versionen von Web-ACL für eine Richtlinie über dieselbe Version der Konsole für oder Classic zugreifen. AWS WAF AWS WAF

Firewall Manager löscht keine ersetzten AWS WAF Classic-Web-ACLs, bis Sie die Richtlinie selbst löschen. Wenn die AWS WAF klassischen Web-ACLs nicht mehr von der Richtlinie verwendet werden, können Sie sie bei Bedarf löschen.

Ermitteln der Version AWS WAF , die von einer Shield Advanced-Richtlinie verwendet wird

Sie können feststellen, welche Version AWS WAF Ihrer Firewall Manager Shield Advanced-Richtlinie verwendet, indem Sie sich die Parameterschlüssel in der AWS Config serviceverknüpften Regel der Richtlinie ansehen. Wenn es sich bei der verwendeten AWS WAF Version um die neueste Version handelt, enthalten die Parameterschlüssel policyId undwebAclArn. Wenn es sich um die frühere Version, AWS WAF Classic, handelt, enthalten die Parameterschlüssel webAclId undresourceTypes.

AWS Config In der Regel werden nur Schlüssel für die Web-ACLs aufgeführt, die die Richtlinie derzeit mit Ressourcen innerhalb des Gültigkeitsbereichs verwendet.

So ermitteln Sie, welche Version AWS WAF Ihrer Firewall Manager Shield Advanced-Richtlinie verwendet

  1. Rufen Sie die Richtlinien-ID für die Shield Advanced-Richtlinie ab:

    1. Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

    2. Wählen Sie im Navigationsbereich die Option Sicherheitsrichtlinien aus.

    3. Wählen Sie die Region für die Richtlinie aus. Für CloudFront Distributionen ist Global dies.

    4. Suchen Sie die gewünschte Richtlinie und kopieren Sie den Wert der zugehörigen Richtlinien-ID.

      Beispiel für eine Richtlinien-ID:1111111-2222-3333-4444-a55aa5aaa555.

  2. Erstellen Sie den AWS Config Regelnamen der Richtlinie, indem Sie die Richtlinien-ID an die Zeichenfolge FMManagedShieldConfigRule anhängen.

    Beispiel für einen AWS Config Regelnamen:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. Suchen Sie in den Parametern für die zugehörige AWS Config Regel nach Schlüsseln mit den Namen policyId undwebAclArn:

    1. Öffnen Sie die AWS Config Konsole unter https://console.aws.amazon.com/config/.

    2. Wählen Sie im Navigationsbereich Regeln aus.

    3. Suchen Sie den AWS Config Regelnamen Ihrer Firewall Manager Manager-Richtlinie in der Liste und wählen Sie ihn aus. Die Seite der Regel wird geöffnet.

    4. Sehen Sie sich unter Regeldetails im Abschnitt Parameter die Schlüssel an. Wenn Sie Schlüssel mit dem Namen policyId und findenwebAclArn, verwendet die Richtlinie Web-ACLs, die mit der neuesten Version von AWS WAF erstellt wurden. Wenn Sie Schlüssel mit dem Namen webAclId und findenresourceTypes, verwendet die Richtlinie Web-ACLs, die mit der früheren Version Classic erstellt wurden. AWS WAF