Übersicht über die Architektur - Sicherheitsautomatisierungen für AWS WAF
Architekturdiagramm

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übersicht über die Architektur

Dieser Abschnitt enthält ein Referenzdiagramm zur Implementierungsarchitektur für die mit dieser Lösung bereitgestellten Komponenten.

Architekturdiagramm

Durch die Bereitstellung dieser Lösung mit den Standardparametern werden die folgenden Komponenten in Ihrem AWS-Konto bereitgestellt.

CloudFormation template stellt AWS WAF und andere AWS-Ressourcen bereit, um Ihre Webanwendung vor häufigen Angriffen zu schützen.

Überblick über die AWS-WAF-Architektur

Im Mittelpunkt des Designs steht eine AWS WAF WAF-Web-ACL, die als zentrale Inspektions- und Entscheidungsstelle für alle eingehenden Anfragen an eine Webanwendung fungiert. Bei der Erstkonfiguration des CloudFormation Stacks definiert der Benutzer, welche Schutzkomponenten aktiviert werden sollen. Jede Komponente arbeitet unabhängig und fügt der Web-ACL unterschiedliche Regeln hinzu.

Die Komponenten dieser Lösung lassen sich in die folgenden Schutzbereiche einteilen.

Anmerkung

Die Gruppenbezeichnungen spiegeln nicht die Prioritätsstufe der WAF-Regeln wider.

  • AWS Managed Rules (A) — Diese Komponente enthält IP-Reputationsregelgruppen von AWS Managed Rules, Basisregelgruppen und anwendungsfallspezifische Regelgruppen. Diese Regelgruppen schützen vor der Ausnutzung häufiger Sicherheitslücken in Anwendungen oder vor anderem unerwünschtem Datenverkehr, einschließlich solcher, die in OWASP-Publikationen beschrieben sind, ohne dass Sie Ihre eigenen Regeln schreiben müssen.

  • Manuelle IP-Listen (B und C) — Diese Komponenten erstellen zwei AWS-WAF-Regeln. Mit diesen Regeln können Sie manuell IP-Adressen einfügen, die Sie zulassen oder verweigern möchten. Mithilfe von EventBridgeAmazon-Regeln und Amazon DynamoDB können Sie die IP-Aufbewahrung konfigurieren und abgelaufene IP-Adressen für zulässige oder verweigerte IP-Sets entfernen. Weitere Informationen finden Sie unter Konfiguration der IP-Aufbewahrung für zugelassene und verweigerte AWS-WAF-IP-Sets.

  • SQL Injection (D) und XSS (E) — Diese Komponenten konfigurieren zwei AWS-WAF-Regeln, die zum Schutz vor gängigen SQL-Injections- oder Cross-Site-Scripting-Mustern (XSS) in der URI, der Abfragezeichenfolge oder dem Hauptteil einer Anfrage konzipiert sind.

  • HTTP Flood (F) — Diese Komponente schützt vor Angriffen, die aus einer großen Anzahl von Anfragen von einer bestimmten IP-Adresse bestehen, wie z. B. einem Web-Layer-S-Angriff oder einem DDo Brute-Force-Anmeldeversuch. Mit dieser Regel legen Sie ein Kontingent fest, das die maximale Anzahl eingehender Anfragen definiert, die von einer einzelnen IP-Adresse innerhalb eines Standardzeitraums von fünf Minuten zulässig sind (konfigurierbar mit dem Parameter Athena Query Run Time Schedule). Wenn dieser Schwellenwert überschritten wird, werden weitere Anfragen von der IP-Adresse vorübergehend blockiert. Sie können diese Regel mithilfe einer ratenbasierten AWS-WAF-Regel oder durch die Verarbeitung von AWS-WAF-Protokollen mithilfe einer Lambda-Funktion oder einer Athena-Abfrage implementieren. Weitere Informationen zu den Kompromissen im Zusammenhang mit den Optionen zur Abwehr von HTTP-Überschwemmungen finden Sie unter Optionen für den Log-Parser.

  • Scanner and Probe (G) — Diese Komponente analysiert Anwendungszugriffsprotokolle und sucht nach verdächtigem Verhalten, wie z. B. einer ungewöhnlich hohen Anzahl von Fehlern, die durch einen Ursprung verursacht wurden. Anschließend werden diese verdächtigen Quell-IP-Adressen für einen vom Kunden festgelegten Zeitraum gesperrt. Sie können diese Regel mithilfe einer Lambda-Funktion oder einer Athena-Abfrage implementieren. Weitere Informationen zu den Kompromissen im Zusammenhang mit den Optionen zur Abwehr von Scannern und Sonden finden Sie unter Optionen für den Log-Parser.

  • IP-Reputationslisten (H) — Bei dieser Komponente handelt es sich um die IP Lists Parser Lambda-Funktion, die IP-Reputationslisten von Drittanbietern stündlich auf neue Bereiche überprüft, die gesperrt werden sollen. Zu diesen Listen gehören die Spamhaus-Listen Don't Route Or Peer (DROP) und Extended DROP (EDROP), die Proofpoint Emerging Threats IP-Liste und die Tor-Exit-Knotenliste.

  • Bad Bot (I) — Diese Komponente richtet automatisch einen Honeypot ein. Dabei handelt es sich um einen Sicherheitsmechanismus, der einen Angriffsversuch anlocken und abwehren soll. Der Honeypot dieser Lösung ist ein Trap-Endpunkt, den Sie in Ihre Website einfügen können, um eingehende Anfragen von Content Scrapern und bösartigen Bots zu erkennen. Wenn eine Quelle auf den Honeypot zugreift, fängt die Access Handler Lambda-Funktion die Anfrage zum Extrahieren ihrer IP-Adresse ab, untersucht sie und fügt sie dann einer AWS-WAF-Blockliste hinzu.

Jede der drei benutzerdefinierten Lambda-Funktionen in dieser Lösung veröffentlicht Laufzeitmetriken auf CloudWatch. Weitere Informationen zu diesen Lambda-Funktionen finden Sie unter Komponentendetails.