Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Sicherheitsgruppen und Netzwerk ACLs (BP5)
Mit Amazon Virtual Private Cloud (AmazonVPC) können Sie einen logisch isolierten Bereich bereitstellen, in AWS Cloud dem Sie AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk starten können.
Sicherheitsgruppen und Netzwerke ACLs sind sich insofern ähnlich, als sie es Ihnen ermöglichen, den Zugriff auf AWS Ressourcen innerhalb Ihres VPC Netzwerks zu kontrollieren. Sicherheitsgruppen ermöglichen es Ihnen jedoch, eingehenden und ausgehenden Datenverkehr auf Instanzebene zu kontrollieren, während Netzwerke ähnliche Funktionen auf VPC Subnetzebene ACLs bieten. Für die Nutzung von Sicherheitsgruppen oder Netzwerken fallen keine zusätzlichen Gebühren an. ACLs
Sie können wählen, ob Sie beim Starten einer Instance Sicherheitsgruppen angeben oder die Instance zu einem späteren Zeitpunkt einer Sicherheitsgruppe zuordnen möchten. Jeglicher Internetverkehr zu einer Sicherheitsgruppe wird implizit verweigert, es sei denn, Sie erstellen eine Zulassungsregel, die den Datenverkehr zulässt.
Wenn Sie beispielsweise EC2 Amazon-Instances hinter einem Elastic Load Balancer haben, sollten die Instances selbst nicht öffentlich zugänglich sein müssen und sollten IPs nur privat sein. Stattdessen könnten Sie dem Elastic Load Balancer Zugriff auf die erforderlichen Ziel-Listener-Ports gewähren, indem Sie eine Sicherheitsgruppenregel verwenden, die den Zugriff auf 0.0.0.0/0 erlaubt (um Probleme mit der Verbindungsverfolgung zu vermeiden — siehe Hinweis unten) in Verbindung mit einer Network Access Control List (NACL) im Zielgruppen-Subnetz, sodass nur die Elastic Load Balancing Balancing-IP-Bereiche mit den Instances kommunizieren können. Dadurch wird sichergestellt, dass der Internetverkehr nicht direkt mit Ihren EC2 Amazon-Instances kommunizieren kann, was es für einen Angreifer schwieriger macht, etwas über Ihre Anwendung zu erfahren und sie zu beeinflussen.
Wenn Sie ein Netzwerk erstellenACLs, können Sie sowohl Regeln zum Zulassen als auch zum Ablehnen angeben. Dies ist nützlich, wenn Sie bestimmte Arten von Datenverkehr für Ihre Anwendung explizit verweigern möchten. Sie können beispielsweise IP-Adressen (als CIDR Bereiche), Protokolle und Zielports definieren, denen der Zugriff auf das gesamte Subnetz verweigert wird. Wenn Ihre Anwendung nur für den TCP Datenverkehr verwendet wird, können Sie eine Regel erstellen, um den gesamten UDP Datenverkehr zu verweigern oder umgekehrt. Diese Option ist nützlich, wenn Sie auf DDoS Angriffe reagieren, da Sie damit Ihre eigenen Regeln zur Abwehr des Angriffs erstellen können, wenn Sie die Quelle IPs oder eine andere Signatur kennen.
Wenn Sie ein Abonnement haben AWS Shield Advanced, können Sie Elastic IP-Adressen als geschützte Ressourcen registrieren. DDoSAngriffe auf Elastic IP-Adressen, die als geschützte Ressourcen registriert wurden, werden schneller erkannt, was zu einer schnelleren Abwehr führen kann. Wenn ein Angriff erkannt wird, lesen die DDoS Abwehrsysteme das NetzwerkACL, das der gewünschten Elastic IP-Adresse entspricht, und erzwingt es an der AWS Netzwerkgrenze und nicht auf Subnetzebene. Dadurch wird Ihr Risiko, dass eine Reihe von Angriffen auf die Infrastrukturebene Auswirkungen haben, erheblich reduziert. DDoS
Weitere Informationen zur Konfiguration von Sicherheitsgruppen und Netzwerken ACLs zur Optimierung der DDoS Ausfallsicherheit finden Sie unter How to Help Prepare for DDoS Attacks by Reducing Your Attack Surface
Weitere Informationen zur Verwendung von Shield Advanced mit Elastic IP-Adressen als geschützte Ressourcen finden Sie in den Schritten zum Abonnieren AWS Shield Advanced.
