Testen und Bereitstellen von Anti- DDo S

Sie sollten die AWS WAF Distributed Denial of Service (DDoS) -Prävention konfigurieren und testen, bevor Sie die Funktion einsetzen. Dieser Abschnitt enthält allgemeine Anleitungen zur Konfiguration und zum Testen. Welche spezifischen Schritte Sie befolgen, hängt jedoch von Ihren Anforderungen, Ressourcen und Webanfragen ab, die Sie erhalten.

Diese Informationen ergänzen die allgemeinen Informationen zum Testen und Optimieren unterTesten und Optimieren Ihrer AWS WAF Schutzmaßnahmen.

Anmerkung

AWS Verwaltete Regeln wurden entwickelt, um Sie vor gängigen Internet-Bedrohungen zu schützen. Wenn sie gemäß der Dokumentation verwendet werden, bieten Regelgruppen mit AWS verwalteten Regeln eine weitere Sicherheitsebene für Ihre Anwendungen. Regelgruppen mit AWS verwalteten Regeln sind jedoch nicht als Ersatz für Ihre Sicherheitsaufgaben gedacht, die durch die von Ihnen ausgewählten AWS Ressourcen bestimmt werden. Anhand des Modells der gemeinsamen Verantwortung können Sie sicherstellen, dass Ihre Ressourcen ordnungsgemäß geschützt AWS sind.

Risiken rund um Produktionsdatenverkehr

Testen und optimieren Sie Ihre Anti-S-Implementierung in einer Staging- DDo oder Testumgebung, bis Sie mit den möglichen Auswirkungen auf Ihren Traffic zufrieden sind. Testen und optimieren Sie dann die Regeln im Zählmodus mit Ihrem Produktionsdatenverkehr, bevor Sie sie aktivieren.

Diese Anleitung richtet sich an Benutzer, die allgemein wissen, wie AWS WAF Schutzpakete (Web ACLs), Regeln und Regelgruppen erstellt und verwaltet werden. Diese Themen werden in früheren Abschnitten dieses Handbuchs behandelt.

Um eine Implementierung zur Verhinderung von AWS WAF Distributed Denial of Service (DDoS) zu konfigurieren und zu testen

Führen Sie diese Schritte zuerst in einer Testumgebung und dann in der Produktion aus.

1. Fügen Sie die verwaltete Regelgruppe zur Verhinderung von AWS WAF Distributed Denial of Service (DDoS) im Zählmodus hinzu

   Anmerkung

   Ihnen werden zusätzliche Gebühren berechnet, wenn Sie diese verwaltete Regelgruppe verwenden. Weitere Informationen finden Sie unter AWS WAF  – Preise.

   Fügen Sie die Regelgruppe AWSManagedRulesAntiDDoSRuleSet für AWS verwaltete Regeln einem neuen oder vorhandenen Schutzpaket (Web-ACL) hinzu und konfigurieren Sie es so, dass das aktuelle Verhalten des Schutzpakets (Web-ACL) nicht verändert wird. Weitere Informationen zu den Regeln und Bezeichnungen für diese Regelgruppe finden Sie unter AWS WAF Regelgruppe zur Verhinderung von Distributed Denial of Service (DDoS).

   • Wenn Sie die verwaltete Regelgruppe hinzufügen, bearbeiten Sie sie und gehen Sie wie folgt vor:

     • Geben Sie im Bereich zur Konfiguration der Regelgruppe die Details ein, die für die Durchführung von DDo Anti-S-Aktivitäten für Ihren Web-Traffic erforderlich sind. Weitere Informationen finden Sie unter Hinzufügen der verwalteten DDo Anti-S-Regelgruppe zu Ihrem Protection Pack (Web-ACL).

     • Öffnen Sie im Bereich Regeln die Dropdownliste Alle Regelaktionen außer Kraft setzen und wählen Sie Count. Mit dieser Konfiguration wertet AWS WAF Anforderungen nach allen Regeln in der Regelgruppe aus und zählt nur die daraus resultierenden Übereinstimmungen. Gleichzeitig werden weiterhin Beschriftungen zu Anforderungen hinzugefügt. Weitere Informationen finden Sie unter Regelaktionen in einer Regelgruppe überschreiben.

       Mit dieser Außerkraftsetzung können Sie die potenziellen Auswirkungen der verwalteten DDo Anti-S-Regeln überwachen und entscheiden, ob Sie Änderungen vornehmen möchten, wie z. B. die Erweiterung der Regex für diejenigen, URIs die eine automatische Browserabfrage nicht bewältigen können.

   • Positionieren Sie die Regelgruppe so, dass sie so früh wie möglich bewertet wird, unmittelbar nach allen Regeln, die Datenverkehr zulassen. Regeln werden in aufsteigender numerischer Prioritätsreihenfolge ausgewertet. Die Konsole legt die Reihenfolge für Sie fest und beginnt ganz oben in Ihrer Regelliste. Weitere Informationen finden Sie unter Regelpriorität festlegen.

2. Aktivieren Sie die Protokollierung und die Metriken für das Protection Pack (Web-ACL)

   Konfigurieren Sie nach Bedarf die Protokollierung, die Amazon Security Lake-Datenerfassung, das Anforderungssampling und die CloudWatch Amazon-Metriken für das Schutzpaket (Web-ACL). Sie können diese Sichtbarkeitstools verwenden, um die Interaktion der verwalteten DDo Anti-S-Regelgruppe mit Ihrem Datenverkehr zu überwachen.

   • Weitere Informationen zum Konfigurieren und Verwenden der Protokollierung finden Sie unter Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL).

   • Informationen zu Amazon Security Lake finden Sie unter Was ist Amazon Security Lake? und Sammeln von Daten von AWS Diensten im Amazon Security Lake-Benutzerhandbuch.

   • Informationen zu CloudWatch Amazon-Metriken finden Sie unterÜberwachung mit Amazon CloudWatch.

   • Informationen zum Sampling von Webanforderungen finden Sie unter Anzeigen einer Stichprobe von Webanforderungen.

3. Ordnen Sie das Protection Pack (Web-ACL) einer Ressource zu

   Wenn das Schutzpaket (Web-ACL) noch keiner Testressource zugeordnet ist, ordnen Sie es zu. Weitere Informationen finden Sie unter Schutz einer Ressource zuordnen oder deren Verknüpfung aufheben AWS.

4. Überwachen Sie den Datenverkehr und die Übereinstimmung mit den DDo Anti-S-Regeln

   Stellen Sie sicher, dass Ihr normaler Datenverkehr fließt und dass die Regeln für verwaltete DDo Anti-S-Regelgruppen übereinstimmende Webanfragen mit Labels versehen. Sie können die Labels in den Protokollen und die DDo Anti-S- und Label-Metriken in den CloudWatch Amazon-Metriken sehen. In den Protokollen werden die Regeln, die Sie zur Zählung in der Regelgruppe außer Kraft gesetzt haben, in der Liste mit auf zählen action gesetzt und ruleGroupList mit der overriddenAction Angabe der konfigurierten Regelaktion angezeigt, die Sie überschrieben haben.

5. Passen Sie die Behandlung von DDo Anti-S-Webanfragen an

   Fügen Sie nach Bedarf Ihre eigenen Regeln hinzu, die Anfragen explizit zulassen oder blockieren, um zu ändern, wie DDo Anti-S-Regeln sie sonst behandeln würden.

   Sie können beispielsweise DDo Anti-S-Labels verwenden, um Anfragen zuzulassen oder zu blockieren oder die Bearbeitung von Anfragen anzupassen. Sie können hinter der Gruppe mit verwalteten DDo Anti-S-Regeln eine Regel für den Label-Abgleich hinzufügen, um markierte Anfragen nach der Bearbeitung zu filtern, die Sie anwenden möchten. Behalten Sie nach dem Testen die zugehörigen DDo Anti-S-Regeln im Zählmodus bei und behalten Sie die Entscheidungen zur Bearbeitung von Anfragen in Ihrer benutzerdefinierten Regel bei.

6. Entfernen Sie die Testregeln und konfigurieren Sie die DDo Anti-S-Einstellungen

   Überprüfen Sie Ihre Testergebnisse, um zu bestimmen, welche DDo Anti-S-Regeln Sie nur zur Überwachung im Zählmodus behalten möchten. Deaktivieren Sie für alle Regeln, die Sie mit aktivem Schutz ausführen möchten, den Zählmodus in der Regelgruppenkonfiguration des Protection Packs (Web ACL), damit sie ihre konfigurierten Aktionen ausführen können. Wenn Sie diese Einstellungen abgeschlossen haben, entfernen Sie alle temporären Testlabel-Vergleichsregeln und behalten Sie dabei alle benutzerdefinierten Regeln bei, die Sie für den Produktionsgebrauch erstellt haben. Weitere Überlegungen zur DDo Anti-S-Konfiguration finden Sie unterBewährte Methoden für intelligente Bedrohungsabwehr in AWS WAF.

7. Überwachen und Anpassen

   Um sicherzustellen, dass Webanfragen wie gewünscht bearbeitet werden, sollten Sie Ihren Datenverkehr genau beobachten, nachdem Sie die DDo Anti-S-Funktionalität aktiviert haben, die Sie verwenden möchten. Passen Sie das Verhalten nach Bedarf mit der Überschreibung der Regelzählung für die Regelgruppe und mit Ihren eigenen Regeln an.