Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Übersicht über die Architektur
Dieser Abschnitt enthält ein Referenzdiagramm zur Implementierungsarchitektur für die mit dieser Lösung bereitgestellten Komponenten.
## Architekturdiagramm
Durch die Bereitstellung dieser Lösung mit den Standardparametern werden die folgenden Komponenten in Ihrem AWS-Konto bereitgestellt.
**CloudFormation template stellt AWS WAF und andere AWS-Ressourcen bereit, um Ihre Webanwendung vor häufigen Angriffen zu schützen.**
![\[Überblick über die AWS-WAF-Architektur\]](http://docs.aws.amazon.com/de_de/solutions/latest/security-automations-for-aws-waf/images/aws-waf-architecture-overview.png)
Im Mittelpunkt des Designs steht eine [AWS WAF WAF-Web-ACL](https://aws.amazon.com/waf/), die als zentrale Inspektions- und Entscheidungsstelle für alle eingehenden Anfragen an eine Webanwendung fungiert. Bei der Erstkonfiguration des CloudFormation Stacks definiert der Benutzer, welche Schutzkomponenten aktiviert werden sollen. Jede Komponente arbeitet unabhängig und fügt der Web-ACL unterschiedliche Regeln hinzu.
Die Komponenten dieser Lösung lassen sich in die folgenden Schutzbereiche einteilen.
**Anmerkung**
Die Gruppenbezeichnungen spiegeln nicht die Prioritätsstufe der WAF-Regeln wider.
+ **AWS Managed Rules (A)** — Diese Komponente enthält [IP-Reputationsregelgruppen](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html) von AWS Managed Rules, [Basisregelgruppen](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html) und [anwendungsfallspezifische Regelgruppen](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html). Diese Regelgruppen schützen vor der Ausnutzung häufiger Sicherheitslücken in Anwendungen oder vor anderem unerwünschtem Datenverkehr, einschließlich solcher, die in [OWASP-Publikationen](https://owasp.org/) beschrieben sind, ohne dass Sie Ihre eigenen Regeln schreiben müssen.
+ **Manuelle IP-Listen (B und C)** — Diese Komponenten erstellen zwei AWS-WAF-Regeln. Mit diesen Regeln können Sie manuell IP-Adressen einfügen, die Sie zulassen oder verweigern möchten. Mithilfe von [ EventBridge[Amazon-Regeln](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html) und Amazon](https://aws.amazon.com/eventbridge) [DynamoDB](https://aws.amazon.com/dynamodb) können Sie die IP-Aufbewahrung konfigurieren und abgelaufene IP-Adressen für zulässige oder verweigerte IP-Sets entfernen. Weitere Informationen finden Sie unter [Konfiguration der IP-Aufbewahrung für zugelassene und verweigerte AWS-WAF-IP-Sets](configure-ip-retention-on-allowed-and-denied-aws-waf-ip-sets.md).
+ **SQL Injection (D) und XSS (E)** — Diese Komponenten konfigurieren zwei AWS-WAF-Regeln, die zum Schutz vor gängigen SQL-Injections- oder Cross-Site-Scripting-Mustern (XSS) in der URI, der Abfragezeichenfolge oder dem Hauptteil einer Anfrage konzipiert sind.
+ **HTTP Flood (F)** — Diese Komponente schützt vor Angriffen, die aus einer großen Anzahl von Anfragen von einer bestimmten IP-Adresse bestehen, wie z. B. einem Web-Layer-S-Angriff oder einem DDo Brute-Force-Anmeldeversuch. Mit dieser Regel legen Sie ein Kontingent fest, das die maximale Anzahl eingehender Anfragen definiert, die von einer einzelnen IP-Adresse innerhalb eines Standardzeitraums von fünf Minuten zulässig sind (konfigurierbar mit dem Parameter **Athena Query Run Time Schedule**). Wenn dieser Schwellenwert überschritten wird, werden weitere Anfragen von der IP-Adresse vorübergehend blockiert. Sie können diese Regel mithilfe einer ratenbasierten AWS-WAF-Regel oder durch die Verarbeitung von AWS-WAF-Protokollen mithilfe einer Lambda-Funktion oder einer Athena-Abfrage implementieren. [Weitere Informationen zu den Kompromissen im Zusammenhang mit den Optionen zur Abwehr von HTTP-Überschwemmungen finden Sie unter Optionen für den Log-Parser.](log-parser-options.md)
+ **Scanner and Probe (G)** — Diese Komponente analysiert Anwendungszugriffsprotokolle und sucht nach verdächtigem Verhalten, wie z. B. einer ungewöhnlich hohen Anzahl von Fehlern, die durch einen Ursprung verursacht wurden. Anschließend werden diese verdächtigen Quell-IP-Adressen für einen vom Kunden festgelegten Zeitraum gesperrt. Sie können diese Regel mithilfe einer [Lambda-Funktion](https://aws.amazon.com/lambda/) oder einer [Athena-Abfrage](https://aws.amazon.com/athena/) implementieren. [Weitere Informationen zu den Kompromissen im Zusammenhang mit den Optionen zur Abwehr von Scannern und Sonden finden Sie unter Optionen für den Log-Parser.](log-parser-options.md)
+ **IP-Reputationslisten (H)** — Bei dieser Komponente handelt es sich um die `IP Lists Parser` Lambda-Funktion, die IP-Reputationslisten von Drittanbietern stündlich auf neue Bereiche überprüft, die gesperrt werden sollen. Zu diesen Listen gehören die Spamhaus-Listen Don't Route Or Peer (DROP) und Extended DROP (EDROP), die Proofpoint Emerging Threats IP-Liste und die Tor-Exit-Knotenliste.
+ **Bad Bot (I)** — Diese Komponente verbessert die Erkennung böser Bots, indem sie zusätzlich zum Honeypot-Mechanismus direkte Verbindungen zu einem Application Load Balancer (ALB) oder Amazon CloudFront überwacht. Wenn ein Bot den Honeypot umgeht und versucht, mit ALB oder zu interagieren, analysiert das System Anforderungsmuster und Protokolle CloudFront, um böswillige Aktivitäten zu identifizieren. Wenn ein böser Bot erkannt wird, wird seine IP-Adresse extrahiert und zu einer AWS-WAF-Sperrliste hinzugefügt, um weiteren Zugriff zu verhindern. Die Erkennung bösartiger Bots erfolgt über eine strukturierte Logikkette, die eine umfassende Bedrohungsabdeckung gewährleistet:
+ HTTP Flood Protection Lambda Log Parser — Sammelt schädliche Bot IPs aus Protokolleinträgen während der Hochwasseranalyse.
+ Scanner & Probe Protection Lambda Log Parser — Identifiziert bösartige Bots anhand IPs scannerbezogener Protokolleinträge.
+ HTTP Flood Protection Athena Log Parser — Extrahiert bösartige Bots IPs aus Athena-Protokollen und verwendet dabei Partitionen für den gesamten Abfragelauf.
+ Scanner & Probe Protection Athena Log Parser — Ruft bösartige Bots IPs aus scannerbezogenen Athena-Protokollen ab und verwendet dabei dieselbe Partitionierungsstrategie.
+ Fallback-Erkennung — Wenn sowohl HTTP Flood Protection als auch Scanner & Probe Protection deaktiviert sind, stützt sich das System auf den Log Lambda-Parser, der Bot-Aktivitäten auf der Grundlage von [WAF-Labelfiltern](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) protokolliert.
Jede der drei benutzerdefinierten Lambda-Funktionen in dieser Lösung veröffentlicht Laufzeitmetriken auf CloudWatch. Weitere Informationen zu diesen Lambda-Funktionen finden Sie unter [Komponentendetails](component-details.md).
# Überlegungen zum AWS-Well-Architected-Design
Diese Lösung nutzt die Best Practices des [AWS Well-Architected Framework](https://aws.amazon.com/architecture/well-architected/), das Kunden dabei unterstützt, zuverlässige, sichere, effiziente und kostengünstige Workloads in der Cloud zu entwerfen und zu betreiben.
In diesem Abschnitt wird beschrieben, wie die Entwurfsprinzipien und Best Practices des Well-Architected Framework dieser Lösung zugute kommen.
## Operative Exzellenz
In diesem Abschnitt wird beschrieben, wie wir diese Lösung unter Verwendung der Prinzipien und bewährten Verfahren des Pfeilers [Operational](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) Excellence konzipiert haben.
+ Die Lösung nutzt Metriken, CloudWatch um die Infrastruktur, die Lambda-Funktionen, [Amazon Data Firehose, Amazon](https://aws.amazon.com/kinesis/data-firehose/) S3 S3-Buckets und die übrigen Lösungskomponenten beobachtbar zu machen.
+ Wir entwickeln, testen und veröffentlichen die Lösung über eine AWS-Pipeline für kontinuierliche Integration und kontinuierliche Lieferung (CI/CD). Dies hilft Entwicklern, konsistent qualitativ hochwertige Ergebnisse zu erzielen.
+ Sie können die Lösung mit einer CloudFormation Vorlage installieren, die alle erforderlichen Ressourcen in Ihrem Konto bereitstellt. Um die Lösung zu aktualisieren oder zu löschen, müssen Sie nur die Vorlage aktualisieren oder löschen.
## Sicherheit
In diesem Abschnitt wird beschrieben, wie wir diese Lösung unter Verwendung der Prinzipien und bewährten Verfahren der [Sicherheitssäule](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) konzipiert haben.
+ Die gesamte dienstübergreifende Kommunikation verwendet [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM) -Rollen.
+ Alle von der Lösung verwendeten Rollen folgen dem Zugriff mit den geringsten Rechten[.](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) Mit anderen Worten, sie enthalten nur die Mindestberechtigungen, die erforderlich sind, damit der Dienst ordnungsgemäß funktionieren kann.
+ Alle Datenspeicher, einschließlich Amazon S3 S3-Buckets und DynamoDB, verfügen über Verschlüsselung im Ruhezustand.
## Zuverlässigkeit
[In diesem Abschnitt wird beschrieben, wie wir diese Lösung unter Verwendung der Prinzipien und bewährten Verfahren der Zuverlässigkeitskomponente konzipiert haben.](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)
+ Die Lösung verwendet, wo immer möglich, serverlose AWS-Services (z. B. Lambda, Firehose, Amazon S3 und Athena), um eine hohe Verfügbarkeit und Wiederherstellung nach einem Serviceausfall sicherzustellen.
+ Wir führen automatisierte Tests der Lösung durch, um Fehler schnell zu erkennen und zu beheben.
+ Die Lösung verwendet Lambda-Funktionen für die Datenverarbeitung. Die Lösung speichert Daten in Amazon S3 und DynamoDB und wird standardmäßig in mehreren Availability Zones gespeichert.
## Leistungseffizienz
[In diesem Abschnitt wird beschrieben, wie wir diese Lösung unter Verwendung der Prinzipien und bewährten Verfahren des Pfeilers Leistungseffizienz konzipiert haben.](https://docs.aws.amazon.com/wellarchitected/latest/performance-efficiency-pillar/welcome.html)
+ Die Lösung verwendet eine serverlose Architektur, um eine hohe Skalierbarkeit und Verfügbarkeit bei reduzierten Kosten zu gewährleisten.
+ Die Lösung verbessert die Datenbankleistung, indem sie Daten partitioniert und Abfragen optimiert, um den Umfang der Datenscans zu reduzieren und schnellere Ergebnisse zu erzielen.
+ Die Lösung wird täglich automatisch getestet und bereitgestellt. Unsere Lösungsarchitekten und Fachexperten überprüfen die Lösung auf Bereiche, in denen experimentiert und verbessert werden muss.
## Kostenoptimierung
In diesem Abschnitt wird beschrieben, wie wir diese Lösung unter Verwendung der Prinzipien und bewährten Verfahren des [Pfeilers Kostenoptimierung](https://docs.aws.amazon.com/wellarchitected/latest/cost-optimization-pillar/welcome.html) konzipiert haben.
+ Die Lösung verwendet eine serverlose Architektur, und Kunden zahlen nur für das, was sie tatsächlich nutzen.
+ Die Rechenschicht der Lösung ist standardmäßig auf Lambda eingestellt, das ein pay-per-use Modell verwendet.
+ Die Athena-Datenbank und die Abfragen sind so optimiert, dass weniger Daten gescannt werden müssen und somit die Kosten gesenkt werden.
## Nachhaltigkeit
In diesem Abschnitt wird beschrieben, wie wir diese Lösung unter Verwendung der Prinzipien und bewährten Verfahren der Säule [Nachhaltigkeit](https://docs.aws.amazon.com/wellarchitected/latest/sustainability-pillar/sustainability-pillar.html) konzipiert haben.
+ Die Lösung verwendet verwaltete und serverlose Dienste, um die Umweltbelastung durch die Back-End-Dienste zu minimieren.
+ Das serverlose Design der Lösung zielt darauf ab, den CO2-Fußabdruck im Vergleich zu dem Fußabdruck kontinuierlich betriebener Server vor Ort zu reduzieren.