Wie schütze ich meine Webanwendung mit CloudFront und AWS WAF vor Internetbedrohungen?

Kurzbeschreibung

Zu den häufigsten Angriffen auf Anwendungsebene gehören SQL-Injection oder Cross-Site Scripting (XSS). Um die Webanwendung vor diesen Angriffen zu schützen, konfiguriere CloudFront mit AWS WAF, um HTTP/HTTPS-Anfragen an Edge-Standorten zu überprüfen. Dann können sie bösartigen Datenverkehr blockieren, bevor er die Ursprungsserver erreicht. Weitere Informationen findest du unter Häufige Anwendungsfälle für den Schutz von CloudFront-Distributionen mit AWS WAF.

Lösung

Voraussetzungen:

• Ein Application Load Balancer, der den Datenverkehr an die Amazon Elastic Compute Cloud (Amazon EC2)-Instance oder andere Regionale AWS-Endpunkte weiterleitet.
• Die Anwendungsinhalte werden bereitgestellt und ausgeführt.
• Du hast die erforderlichen Berechtigungen, um CloudFront und AWS WAF zu konfigurieren.

CloudFront einrichten

Gehe wie folgt vor, um CloudFront als Sicherheitsschild einzurichten:

1. Öffne die CloudFront-Konsole.
2. Eine Distribution erstellen.
3. Gib im Feld Ursprungs-Domain die Adresse der Website ein.
4. Wähle unter Viewer-Protokollrichtlinie die Option HTTP zu HTTPS umleiten.
5. Wähle Distribution erstellen aus.

Hinweis: Wenn du statische und dynamische Inhalte am Edge-Standort zwischenspeicherst, reduziere die Anzahl der Anfragen, die den Ursprung erreichen. Diese Maßnahme senkt die Kosten und verbessert die Leistung.

AWS WAF einrichten

Gehe wie folgt vor, um AWS WAF als Sicherheitsschild einzurichten:

1. Öffne die AWS-WAF-Konsole.
2. Erstelle eine Web-ACL (Web Access List).
3. Wähle die AWS-Region.
4. Benenne sie. Zum Beispiel "MyWebsiteProtection".
5. Wähle Regeln hinzufügen und dann Ratenbasierte Regel hinzufügen.
   Gib die folgende Ratenlimitregel ein:
   Stelle sie so ein, dass IP-Adressen blockiert werden, die zu viele Anfragen senden. Zum Beispiel 2000 Anfragen pro 5 Minuten.
6. Wähle Regeln hinzufügen und dann Verwaltete Regeln hinzufügen.
   Füge einen Kernregelsatz (CRS) für von AWS verwaltete Regeln hinzu. Das CRS bietet Schutz vor gängigen Angriffen wie SQL-Injektion und XSS.
   Hinweis: Edge-Standorte setzen die AWS-WAF-Regeln durch und stoppen bösartigen Datenverkehr näher an der Quelle.
7. Wähle Weiter und dann Web-ACL erstellen.

Hinweis: Du kannst das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf die AWS WAF-Funktionen zuzugreifen. Weitere Informationen findest du unter Erste Schritte mit AWS WAF mithilfe der aktualisierten Konsolenumgebung.

AWS WAF mit CloudFront verbinden

Gehe wie folgt vor, um sicherzustellen, dass AWS WAF und CloudFront zusammenarbeiten:

1. Öffne die AWS-WAF-Konsole.
2. Wähle die Web-ACL aus.
3. Wähle Zugehörige AWS-Ressourcen aus.
4. Wähle AWS-Ressourcen hinzufügen aus.
5. Wähle die CloudFront-Distribution aus.
6. Wähle Hinzufügen aus. Weitere Informationen findest du unter Verwenden von AWS WAF mit Amazon CloudFront.

Überwachung einrichten

Hinweis: Wenn du die Protokollierung aktivierst, fallen zusätzliche Kosten an. CloudWatch bietet ein kostenloses Kontingent an, aber wenn du das kostenlose Kontingent überschreitest, fallen Gebühren an. Aktuelle Preise findest du unter Amazon CloudWatch-Preise.

Gehe wie folgt vor, um die Überwachung in CloudFront einzurichten:

1. Öffne die CloudFront-Konsole.
2. Wähle die Distribution aus.
3. Gehe zu Protokolle.
4. Aktiviere die Standardprotokollierung.

Gehe wie folgt vor, um die Überwachung in AWS WAF einzurichten:

1. Öffne die AWS-WAF-Konsole.
2. Öffne die Web-ACL.
3. Wähle Protokollierung und Metriken aus.
4. Aktiviere die Protokollierung. Weitere Informationen findest du unter CloudFront- und Edge-Funktionsprotokollierung.

Ähnliche Informationen

Automatisieren der DDoS-Abwehr auf Anwendungsebene mit Shield Advanced

Beschleunige und schütze die Websites mit Amazon CloudFront und AWS WAF