View a markdown version of this page

Beispiel für eine Shield Advanced DDoS-Resilienzarchitektur für gängige Webanwendungen - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, und AWS Shield Direktor für Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter Arbeiten mit der Konsole.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiel für eine Shield Advanced DDoS-Resilienzarchitektur für gängige Webanwendungen

Diese Seite enthält eine Beispielarchitektur für die Maximierung der Widerstandsfähigkeit gegen DDoS-Angriffe mit Webanwendungen. AWS

Sie können eine Webanwendung in jeder AWS Region erstellen und automatischen DDoS-Schutz durch die Erkennungs- und Abwehrfunktionen in der Region erhalten. AWS

Dieses Beispiel bezieht sich auf Architekturen, die Benutzer mithilfe von Ressourcen wie Classic Load Balancers, Application Load Balancers, Network Load Balancers, AWS Marketplace-Lösungen oder Ihrer eigenen Proxyschicht zu einer Webanwendung weiterleiten. Sie können die DDoS-Resilienz verbessern, indem Sie Amazon Route 53-Hosting-Zonen, CloudFront Amazon-Distributionen und AWS WAF Web-ACLs zwischen diesen Webanwendungsressourcen und Ihren Benutzern einfügen. Diese Einfügungen können den Ursprung der Anwendung verschleiern, Anfragen näher an Ihren Endbenutzern bearbeiten und eine Flut von Anfragen auf Anwendungsebene erkennen und verhindern. Anwendungen, die Ihren Benutzern statische oder dynamische Inhalte mit CloudFront und Route 53 bereitstellen, sind durch ein integriertes, vollständig integriertes DDoS-Abwehrsystem geschützt, das Angriffe auf Infrastrukturebene in Echtzeit abwehrt.

Mit diesen architektonischen Verbesserungen können Sie dann Ihre von Route 53 gehosteten Zonen und Ihre CloudFront Distributionen mit Shield Advanced schützen. Wenn Sie CloudFront Distributionen schützen, fordert Shield Advanced Sie auf, AWS WAF Web-ACLs zuzuordnen und ratenbasierte Regeln für diese zu erstellen. Außerdem haben Sie die Möglichkeit, automatische DDoS-Abwehr auf Anwendungsebene oder proaktives Engagement zu aktivieren. Proaktives Engagement und automatische DDoS-Abwehr auf Anwendungsebene verwenden Route 53-Zustandsprüfungen, die Sie der Ressource zuordnen. Weitere Informationen zu diesen Optionen finden Sie unter Ressourcenschutz in AWS Shield Advanced.

Das folgende Referenzdiagramm zeigt diese DDoS-resistente Architektur für eine Webanwendung.

Das Diagramm zeigt ein betiteltes AWS cloud Rechteck mit einer Benutzergruppe auf der linken Seite. Innerhalb des Wolkenrechtecks befinden sich zwei weitere Rechtecke nebeneinander. Das linke Rechteck ist betitelt AWS Shield Advanced und das rechte Rechteck hat einen TitelVPC. Das linke AWS Shield Advanced Dreieck enthält drei AWS Symbole, die vertikal gestapelt sind. Von oben nach unten lauten die Symbole Amazon Route 53 CloudFront, Amazon und AWS WAF. Das Symbol für CloudFront hat Pfeile, die zum und vom Symbol für führen AWS WAF. Aus der Benutzergruppe geht horizontal nach rechts ein Pfeil hervor, der sich so teilt, dass er auf die Symbole für Route 53 und CloudFront zeigt. Rechts neben dem Shield Advanced-Rechteck enthält das VPC-Rechteck zwei nebeneinander liegende Symbole. Von links nach rechts sind diese Symbole Elastic Load Balancing und Amazon Elastic Compute Cloud. Das CloudFront Symbol hat einen waagerechten Pfeil, der zum Elastic Load Balancing Balancing-Symbol führt. Das Elastic Load Balancing Balancing-Symbol hat einen waagerechten Pfeil, der zum Amazon EC2-Symbol führt. Benutzeranfragen werden also an Route 53 und CloudFront gesendet. CloudFront interagiert mit dem Load Balancer AWS WAF und sendet auch Anfragen an diesen weiter, der wiederum Anfragen an Amazon EC2 sendet.

Zu den Vorteilen, die dieser Ansatz für Ihre Webanwendung bietet, gehören die folgenden:

  • Schutz vor häufig genutzten DDoS-Angriffen auf Infrastrukturebene (Layer 3 und Layer 4) ohne Erkennungsverzögerung. Wenn eine Ressource häufig angegriffen wird, führt Shield Advanced außerdem Schutzmaßnahmen für längere Zeiträume durch. Shield Advanced verwendet auch den Anwendungskontext, der von Netzwerk-ACLs (NACLs) abgeleitet wird, um unerwünschten Datenverkehr weiter flussaufwärts zu blockieren. Dadurch werden Fehler isoliert, die näher an ihrer Quelle liegen, wodurch die Auswirkungen auf legitime Benutzer minimiert werden.

  • Schutz vor TCP-SYN-Floods. Die in Route 53 integrierten Systeme zur DDoS-Abwehr AWS Global Accelerator bieten eine TCP-SYN-Proxyfunktion, die neue Verbindungsversuche abwehrt und nur legitimen Benutzern dient. CloudFront

  • Schutz vor Angriffen auf DNS-Anwendungsebene, da Route 53 für die Bereitstellung autorisierender DNS-Antworten verantwortlich ist.

  • Schutz vor Fluten von Anfragen auf der Webanwendungsebene. Die ratenbasierte Regel, die Sie in Ihrer AWS WAF Web-ACL konfigurieren, blockiert Quell-IPs, wenn sie mehr Anfragen senden, als die Regel zulässt.

  • Automatische DDoS-Abwehr auf Anwendungsebene für Ihre CloudFront Distributionen, wenn Sie diese Option aktivieren. Bei der automatischen DDoS-Abwehr behält Shield Advanced eine ratenbasierte Regel in der zugehörigen AWS WAF Web-ACL der Distribution bei, die das Volumen der Anfragen von bekannten DDoS-Quellen begrenzt. Wenn Shield Advanced ein Ereignis erkennt, das sich auf den Zustand Ihrer Anwendung auswirkt, erstellt, testet und verwaltet es außerdem automatisch Abhilferegeln in der Web-ACL.

  • Proaktive Zusammenarbeit mit dem Shield Response Team (SRT), wenn Sie diese Option aktivieren. Wenn Shield Advanced ein Ereignis erkennt, das sich auf den Zustand Ihrer Anwendung auswirkt, reagiert das SRT und setzt sich anhand der von Ihnen angegebenen Kontaktinformationen proaktiv mit Ihren Sicherheits- oder Betriebsteams in Verbindung. Das SRT analysiert Muster in Ihrem Datenverkehr und kann Ihre AWS WAF Regeln aktualisieren, um den Angriff zu blockieren.