Wie kann ich mich mit Shield Standard vor DDoS-Angriffen schützen?
Ich möchte meine Anwendung mit AWS Shield Standard vor Distributed-Denial-of-Service (DDoS)-Angriffen schützen.
Kurzbeschreibung
AWS Shield Standard ist ein verwalteter Service zum Schutz vor Bedrohungen, der den Umfang Ihrer Anwendung schützt. Shield Standard bietet automatischen Schutz vor Bedrohungen ohne Aufpreis. Mit Shield Standard können Sie Ihre Anwendung am Rande des AWS-Netzwerks mithilfe von Amazon CloudFront, AWS Global Accelerator und Amazon Route 53 schützen. Diese AWS-Services werden vor allen bekannten Angriffen auf Netzwerk- und Transportebene geschützt. Zur Abwehr von Layer-7-DDoS-Angriffen können Sie AWS WAF verwenden.
Um Ihre Anwendung mit Shield Standard vor DDoS-Angriffen zu schützen, empfiehlt es sich, die folgenden Richtlinien für Ihre Anwendungsarchitektur zu befolgen:
- Reduzieren Sie die Angriffsfläche
- Seien Sie bereit, den Angriff zu skalieren und abzuwehren
- Schützen Sie exponierte Ressourcen
- Überwachen Sie das Anwendungsverhalten
- Erstellen Sie einen Plan für Angriffe
Behebung
Reduzieren Sie die Angriffsfläche
- Um sicherzustellen, dass nur der erwartete Datenverkehr Ihre Anwendung erreicht, verwenden Sie Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs) und Sicherheitsgruppen.
- Verwenden Sie die von AWS verwaltete Präfixliste für CloudFront. Sie können den eingehenden HTTP- oder HTTPS-Datenverkehr zu Ihren Ursprüngen nur von den IP-Adressen beschränken, die zu CloudFront-Ursprungsservern gehören.
- Stellen Sie die Backend-Ressourcen, die Ihre Anwendung hosten, in privaten Subnetzen bereit.
- Um die Wahrscheinlichkeit zu verringern, dass bösartiger Datenverkehr Ihre Anwendung direkt erreicht, vermeiden Sie die Zuweisung von Elastic-IP-Adressen zu Ihren Backend-Ressourcen.
Weitere Informationen finden Sie unter Reduzierung der Angriffsfläche.
Seien Sie bereit, den DDoS-Angriff zu skalieren und abzuwehren
- Schützen Sie Ihre Anwendung am Rand des AWS-Netzwerks mit CloudFront, Global Accelerator und Route 53.
- Absorbieren und verteilen Sie überschüssigen Datenverkehr mit Elastic Load Balancing.
- Skalieren Sie bei Bedarf horizontal mit AWS Auto Scaling.
- Skalieren Sie vertikal, indem Sie die optimalen Amazon Elastic Compute Cloud (Amazon EC2)-Instance-Typen für Ihre Anwendung verwenden.
- Aktivieren Sie Enhanced Networking auf Ihren Amazon EC2-Instances.
- Aktivieren Sie API-Caching, um die Reaktionsfähigkeit zu verbessern.
- Optimieren Sie das Caching auf CloudFront.
- Verwenden Sie CloudFront Origin Shield, um Anfragen für das Caching von Inhalten auf den Ursprung weiter zu reduzieren.
Weitere Informationen finden Sie unter Abwehrtechniken.
Schützen Sie exponierte Ressourcen
- Konfigurieren Sie AWS WAF mit einer ratenbasierten Regel im Blockmodus, um sich vor Request-Flood-Angriffen zu schützen.
**Hinweis:**Sie müssen CloudFront, Amazon API Gateway, Application Load Balancer oder AWS AppSync konfiguriert haben, um AWS WAF verwenden zu können. - Verwenden Sie die geografischen Beschränkungen von CloudFront, um zu verhindern, dass Benutzer aus Ländern, in denen Sie nicht auf Ihre Inhalte zugreifen möchten, zugreifen können.
- Verwenden Sie Burst-Limits für jede Methode mit Ihren Amazon API Gateway-REST-APIs, um Ihren API-Endpunkt vor einer Überlastung durch Anfragen zu schützen.
- Verwenden Sie die Ursprungszugriffsidentität (OAI) mit Ihren Amazon Simple Storage Service (Amazon S3)-Buckets.
- Richten Sie den API-Schlüssel als X-API-Key-Header jeder eingehenden Anfrage ein, um Ihr Amazon API Gateway vor direktem Zugriff zu schützen.
Überwachen Sie das Anwendungsverhalten
- Erstellen Sie Amazon CloudWatch-Dashboards, um eine Basis für die wichtigsten Kennzahlen Ihrer Anwendung wie Datenverkehrsmuster und Ressourcennutzung zu erstellen.
- Verbessern Sie die Sichtbarkeit Ihrer CloudWatch-Protokolle mit der Centralized Logging-Lösung.
- Konfigurieren Sie CloudWatch-Alarme zur automatischen Skalierung der Anwendung als Reaktion auf einen DDoS-Angriff.
- Erstellen Sie Route 53-Zustandsprüfungen, um den Zustand Ihrer Anwendung zu überwachen und den Datenverkehr-Failover für Ihre Anwendung als Reaktion auf einen DDoS-Angriff zu verwalten.
Weitere Informationen finden Sie unter Überwachung von AWS Application Auto Scaling.
Erstellen Sie einen Plan für DDoS-Angriffe
- Entwickeln Sie im Voraus ein Runbook, damit Sie effizient und zeitnah auf DDoS-Angriffe reagieren können. Hinweise zum Erstellen eines Runbooks finden Sie im AWS-Leitfaden zur Reaktion auf Sicherheitsvorfälle. Sie können sich auch dieses Beispiel-Runbook ansehen.
- Verwenden Sie das Skript aws-lambda-shield-engagement, um während eines DDoS-Angriffs schnell ein Ticket beim AWS Support zu protokollieren.
- Shield Standard bietet Schutz vor infrastrukturbasierten DDoS-Angriffen, die auf den Ebenen 3 und 4 des OSI-Modells auftreten. Zur Abwehr von Layer-7-DDoS-Angriffen können Sie AWS WAF verwenden.
Weitere Informationen zum Schutz Ihrer Anwendung vor DDoS-Angriffen finden Sie unter AWS Bewährte Methoden für DDoS-Resilienz.
Verwandte Informationen
So schützen Sie dynamische Webanwendungen mithilfe von CloudFront und Route 53 vor DDoS-Angriffen
Testen und Optimieren Ihres AWS WAF-Schutzes
Wie kann ich einen DDoS-Angriff simulieren, um Shield Advanced zu testen?
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 4 Jahren
- AWS OFFICIALAktualisiert vor 4 Jahren
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren