Sicherheit - Sicherheitsautomatisierungen für AWS WAF
IAM-RollenDatenSchutzfunktionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sicherheit

Wenn Sie Systeme auf der AWS-Infrastruktur aufbauen, werden Sie und AWS gemeinsam für die Sicherheit verantwortlich sein. Dieses Modell der geteilten Verantwortung reduziert Ihren betrieblichen Aufwand, da AWS die Komponenten wie das Host-Betriebssystem, die Virtualisierungsebene und die physische Sicherheit der Einrichtungen, in denen die Services betrieben werden, betreibt, verwaltet und kontrolliert. Weitere Informationen zur AWS-Sicherheit finden Sie unter AWS Cloud Security.

IAM-Rollen

Mit IAM-Rollen können Sie Services und Benutzern in der AWS-Cloud detaillierten Zugriff, Richtlinien und Berechtigungen zuweisen. Diese Lösung erstellt IAM-Rollen mit den geringsten Rechten, und diese Rollen gewähren den Ressourcen der Lösung die erforderlichen Berechtigungen.

Daten

Alle in Amazon S3 S3-Buckets und DynamoDB-Tabellen gespeicherten Daten sind im Ruhezustand verschlüsselt. Daten, die mit Firehose übertragen werden, sind ebenfalls verschlüsselt.

Schutzfunktionen

Webanwendungen sind anfällig für eine Vielzahl von Angriffen. Zu diesen Angriffen gehören speziell gestaltete Anfragen, die darauf abzielen, eine Sicherheitslücke auszunutzen oder die Kontrolle über einen Server zu übernehmen, volumetrische Angriffe, die darauf abzielen, eine Website lahmzulegen, oder bösartige Bots und Scraper, die darauf programmiert sind, Webinhalte zu durchsuchen und zu stehlen.

Diese Lösung konfiguriert AWS-WAF-Regeln, einschließlich Regelgruppen und benutzerdefinierter Regeln für AWS Managed Rules, um die folgenden häufigen Angriffe zu blockieren: CloudFormation

  • AWS Managed Rules — Dieser verwaltete Service bietet Schutz vor häufigen Anwendungsschwachstellen oder anderem unerwünschten Datenverkehr. Diese Lösung umfasst AWS Managed IP-Reputationsregelgruppen, AWS Managed-Basisregelgruppen und AWS Managed-Regelgruppen für anwendungsspezifische Anwendungsfälle. Sie haben die Möglichkeit, eine oder mehrere Regelgruppen für Ihre Web-ACL bis zum maximalen WCU-Kontingent (Web ACL Capacity Unit) auszuwählen.

  • SQL-Injection — Angreifer fügen bösartigen SQL-Code in Webanfragen ein, um Daten aus Ihrer Datenbank zu extrahieren. Wir haben diese Lösung entwickelt, um Webanfragen zu blockieren, die potenziell bösartigen SQL-Code enthalten.

  • XSS — Angreifer nutzen Sicherheitslücken auf einer harmlosen Website, um bösartige Client-Site-Skripte in den Webbrowser eines legitimen Benutzers einzuschleusen. Wir haben dies so konzipiert, dass es häufig untersuchte Elemente eingehender Anfragen untersucht, um XSS-Angriffe zu identifizieren und zu blockieren.

  • HTTP-Floods — Webserver und andere Backend-Ressourcen sind dem Risiko von DDo S-Angriffen wie HTTP-Floods ausgesetzt. Diese Lösung ruft automatisch eine ratenbasierte Regel auf, wenn Webanfragen von einem Client ein konfigurierbares Kontingent überschreiten. Alternativ können Sie dieses Kontingent erzwingen, indem Sie AWS-WAF-Protokolle mithilfe einer Lambda-Funktion oder einer Athena-Abfrage verarbeiten.

  • Scanner und Sonden — Böswillige Quellen scannen und untersuchen Webanwendungen, die mit dem Internet verbunden sind, auf Sicherheitslücken, indem sie eine Reihe von Anfragen senden, die HTTP 4xx-Fehlercodes generieren. Sie können diesen Verlauf verwenden, um bösartige Quell-IP-Adressen zu identifizieren und zu blockieren. Diese Lösung erstellt eine Lambda-Funktion oder Athena-Abfrage, die automatisch CloudFront oder ALB-Zugriffsprotokolle analysiert, die Anzahl der fehlerhaften Anfragen von eindeutigen Quell-IP-Adressen pro Minute zählt und AWS WAF aktualisiert, um weitere Scans von Adressen zu blockieren, die die definierte Fehlerquote erreicht haben.

  • Bekannte Herkunft der Angreifer (IP-Reputationslisten) — Viele Unternehmen führen Reputationslisten mit IP-Adressen, die von bekannten Angreifern wie Spammern, Malware-Verteilern und Botnetzen betrieben werden. Diese Lösung nutzt die Informationen in diesen Reputationslisten, um Ihnen zu helfen, Anfragen von bösartigen IP-Adressen zu blockieren. Darüber hinaus blockiert diese Lösung Angreifer, die von IP-Reputationsregelgruppen auf der Grundlage interner Bedrohungsinformationen von Amazon identifiziert wurden.

  • Bots und Scraper — Betreiber öffentlich zugänglicher Webanwendungen müssen darauf vertrauen können, dass sich die Kunden, die auf ihre Inhalte zugreifen, korrekt identifizieren und dass sie Dienste wie vorgesehen nutzen. Einige automatisierte Clients, wie Content Scraper oder bösartige Bots, geben sich jedoch falsch aus, um Einschränkungen zu umgehen. Diese Lösung hilft Ihnen dabei, bösartige Bots und Scraper zu identifizieren und zu blockieren.