Get Hands-on with Amazon EKS - Workshop Event Series

Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!

Wie schütze ich mich mit Shield Standard vor DDoS-Angriffen?

Lesedauer: 3 Minute

Ich möchte meine Anwendung mit AWS Shield Standard vor Distributed-Denial-of-Service (DDoS)-Angriffen schützen.

Kurzbeschreibung

AWS Shield Standard ist standardmäßig für dein AWS-Konto ohne zusätzliche Kosten aktiv. Für die folgenden Services sind Shield-Standardschutzmaßnahmen gegen gängige Netzwerk- und Transportebenenangriffe standardmäßig aktiviert:

Amazon CloudFront für HTTP- und gRPC Remote Procedure Call-Workloads
Amazon Route 53 für DNS

Lösung

Um deine Anwendung mit Shield Standard vor DDoS-Angriffen zu schützen, empfiehlt es sich, die folgenden Richtlinien für deine Anwendungsarchitektur zu befolgen:

Nutze skalierbare Services.
Reduziere die Angriffsfläche.
Erkenne und filtere bösartigen Datenverkehr.
Überwache das Anwendungsverhalten.
Erstelle einen Plan für DDoS-Angriffe.

Skalierbare Services nutzen

Plane für große Mengen an Datenverkehr mit den folgenden bewährten Methoden:

Schütze deine Anwendung am Rand des AWS-Netzwerks mit CloudFront, Global Accelerator und Route 53.
Verteile den Traffic mit Elastic Load Balancing und reserviere für Application Load Balancer eine Mindestkapazität mit [Kapazitätsreservierungen] (http://Capacity-Reservierungen für deinen Application Load Balancer).
Skaliere horizontal oder vertikal bei Bedarf mit Auto Scaling für Anwendungen, das in mehrere Services integriert ist.

Angriffsfläche reduzieren

Reduziere die Angriffsfläche mit den folgenden bewährten Methoden:

Beschränke den Zugriff auf CloudFront-Ursprünge. Verwende für einen Amazon S3-Ursprung Origin Access Control (OAC). Verwende VPC-Ursprünge für einen Ursprung, der ein Elastic Load Balancer, Network Load Balancer oder eine EC2-Instance ist. Wenn du derzeit eine von CloudFront verwaltete Präfixliste ohne VPC-Ursprünge verwendest, implementiere VPC-Ursprünge.
Um sicherzustellen, dass nur der erwartete Datenverkehr deine Anwendung erreicht, verwende Netzwerk-Zugriffssteuerungslisten (Netzwerk-ACLs) und Sicherheitsgruppen.
Um die Wahrscheinlichkeit von bösartigem Datenverkehr zu deiner Anwendung zu verringern, weise deinen Backend-Ressourcen keine öffentlichen Elastic IP-Adressen zu.

Weitere Informationen findest du unter Reduzierung der Angriffsfläche.

Bösartigen Datenverkehr erkennen und filtern

Erkenne und filtere bösartigen Datenverkehr mit den folgenden bewährten Methoden:

Befolge die bewährten Methoden von AWS WAF, die hier beschrieben sind: DDoS-Resilienz – AWS WAF zum Schutz vor DDoS-Botnets verwenden.
Hinweis: Du musst Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync oder Amazon Cognito verwenden, um AWS WAF verwenden zu können.
Verwende CloudFront CDN-Caching, um zwischenspeicherbare Anfragen an deinen Ursprung zu reduzieren – siehe DDoS-Resilienz – die unglaubliche Bedeutung von HTTP-Caching.
Aktiviere gegebenenfalls das API-Caching auf dem API Gateway und verwende Burst-Limits für jede Methode mit deinen Amazon API Gateway-REST-APIs.

Weitere Informationen findest du unter Abwehrtechniken.

Anwendungsverhalten überwachen

Überwache das Anwendungsverhalten mit den folgenden bewährten Methoden:

Erstelle Amazon CloudWatch-Dashboards, um eine Basis für die wichtigsten Kennzahlen deiner Anwendung wie Datenverkehrsmuster und Ressourcennutzung zu erstellen.
Verbessere die Sichtbarkeit deiner CloudWatch Logs mit der [Centralized Logging-Lösung](http:// https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html).
Konfiguriere CloudWatch-Alarme zur automatischen Skalierung der Anwendung als Reaktion auf einen DDoS-Angriff.

Weitere Informationen findest du unter Auto Scaling von Anwendungen überwachen.

Plan für DDoS-Angriffe erstellen

Entwickle im Voraus ein Runbook, damit du effizient und zeitnah auf DDoS-Angriffe reagieren kannst. Eine Anleitung zur Erstellung eines Runbooks findest du im technischen Leitfaden zu AWS Security Incident Response.

Weitere Informationen zum Schutz deiner Anwendung vor DDoS-Angriffen findest du unter AWS Bewährte Methoden für DDoS-Resilienz.

Relevanter Inhalt

Wie viele Ressourcen kann Shield Advanced schützen?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie überprüfe ich, ob Shield Advanced meine Ressourcen vor DDoS-Angriffen schützt?
AWS OFFICIALAktualisiert vor einem Jahr
Wie konfiguriere ich AWS WAF, um meine Ressourcen vor häufigen Angriffen zu schützen?
AWS OFFICIALAktualisiert vor 8 Monaten
Wie schütze ich meine Webanwendung mit CloudFront und AWS WAF vor Internetbedrohungen?
AWS OFFICIALAktualisiert vor 7 Monaten