Verwendung AWS WAF mit Amazon CloudFront - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit
Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung AWS WAF mit Amazon CloudFront

Erfahren Sie, wie Sie die CloudFront Funktionen von Amazon verwenden AWS WAF können.

Wenn Sie ein Protection Pack oder eine Web-ACL erstellen, können Sie eine oder mehrere CloudFront Distributionen angeben, die Sie überprüfen AWS WAF möchten. CloudFront unterstützt zwei Arten von Verteilungen: Standardverteilungen, die einzelne Mandanten schützen, und Mehrmandantenverteilungen, die mehrere Mandanten über eine einzige, gemeinsam genutzte Konfigurationsvorlage schützen. AWS WAF überprüft Webanfragen für beide Verteilungstypen auf der Grundlage der Regeln, die Sie in Ihrem Schutzpaket oder Ihrer Website definieren ACLs, mit unterschiedlichen Implementierungsmustern für jeden Typ.

Themen

Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen

Verteilungstypen

AWS WAF bietet Firewall-Funktionen für Webanwendungen sowohl für Standard- als auch für Mehrmandantenverteilungen. CloudFront

Standardverteilungen

Fügt bei Standardverteilungen den Schutz AWS WAF hinzu, indem für jede Distribution ein einziges Schutzpaket oder eine einzige Web-ACL verwendet wird. Sie können diesen Schutz aktivieren, indem Sie einer CloudFront Distribution ein vorhandenes Schutzpaket oder eine Web-ACL zuordnen oder indem Sie den Ein-Klick-Schutz in der Konsole verwenden. CloudFront Auf diese Weise können Sie die Sicherheitskontrollen für jede Ihrer Distributionen unabhängig voneinander verwalten, da sich alle Änderungen an einem Protection Pack oder einer Web-ACL nur auf die zugehörige Distribution auswirken.

Diese einfache Methode zum Schutz von CloudFront Distributionen ist optimal, um einzelnen Domänen über ein einziges Schutzpaket oder eine Web-ACL spezifische Schutzmaßnahmen zu bieten.

Überlegungen zur Standardverteilung

  • Änderungen an einem Schutzpaket oder einer Web-ACL wirken sich nur auf die zugehörige Distribution aus

  • Für jede Distribution ist eine unabhängige Protection Pack- oder Web-ACL-Konfiguration erforderlich

  • Regeln und Regelgruppen werden für jede Distribution separat verwaltet

Distributionen für mehrere Mandanten

AWS WAF Fügt bei Distributionen mit mehreren Mandanten mithilfe eines einzigen Schutzpakets oder einer einzigen Web-ACL Schutz für mehrere Domänen hinzu. Domänen, die von Distributionen mit mehreren Mandanten verwaltet werden, werden als Verteilungsmandanten bezeichnet. Sie können den AWS WAF Schutz für Mehrmandantenverteilungen in der CloudFront Konsole nur während oder nach der Erstellung der Mehrmandantenverteilung aktivieren. Änderungen an einem Schutzpaket oder einer Web-ACL werden jedoch weiterhin über die AWS WAF Konsole oder API verwaltet.

Distributionen mit mehreren Mandanten bieten die Flexibilität, AWS WAF Schutzmaßnahmen auf zwei Ebenen zu ermöglichen:

  • Mehrinstanzenfähige Verteilungsebene — Das zugehörige Schutzpaket oder das Internet ACLs bieten grundlegende Sicherheitskontrollen, die für alle Anwendungen gelten, die diese Distribution gemeinsam nutzen

  • Verteilung auf Mandantenebene — Einzelne Mandanten innerhalb einer Mehrmandantenverteilung können über ein eigenes Schutzpaket oder eine eigene Website verfügen, um zusätzliche Sicherheitskontrollen ACLs zu implementieren oder die Einstellungen für die Verteilung mehrerer Mandanten außer Kraft zu setzen

Durch diese beiden Stufen eignen sich Mehrmandantenverteilungen optimal für die gemeinsame Nutzung von AWS WAF Schutzmaßnahmen über mehrere Domänen hinweg, ohne dass die Möglichkeit verloren geht, die Sicherheit für eine einzelne Verteilung individuell anzupassen.

Überlegungen zur Verteilung über mehrere Mandanten

  • Einzelne Distributionsmandanten übernehmen Änderungen, die am Protection Pack oder Web vorgenommen wurden und ACLs die mit verwandten Distributionen für mehrere Mandanten verknüpft sind

  • Das Schutzpaket oder die Website, die bestimmten Distributionsmandanten ACLs zugeordnet sind, können Einstellungen außer Kraft setzen, die auf der Ebene des Multi-Tenant-Schutzpakets oder der Web-ACL konfiguriert wurden

  • Verwaltete Regelgruppen können sowohl auf Verteilungs- als auch auf Verteilungsmandantenebene implementiert werden

  • Anwendungskennungen können in Protokollen gespeichert werden, um Sicherheitsereignisse nach Verteilung nachzuverfolgen

AWS WAF Funktionen nach Verteilungstyp

Vergleichen Sie die Implementierungen von Protection Pack oder Web-ACL
AWS WAF Funktion Standardverteilungen Distributionen für mehrere Mandanten
Protection Pack oder Web zuordnen ACLs Ein Schutzpaket oder eine Web-ACL pro Distribution Sie können das Protection Pack oder das Web ACLs mandantenübergreifend gemeinsam nutzen, mit optionalem mandantenspezifischem Schutzpaket oder Web ACLs
Verwaltung von Regeln Regeln wirken sich auf eine einzelne Verteilung aus Verteilungsregeln für mehrere Mandanten wirken sich auf alle zugehörigen Mandanten aus. Verteilungsmandantenspezifische Regeln wirken sich nur auf diesen Mandanten aus
Verwaltete Regelgruppen Wird auf einzelne Verteilungen angewendet Kann auf Verteilungsebene für mehrere Mandanten für alle Mandanten oder auf Mandantenebene für bestimmte Anwendungen angewendet werden
Protokollierung Standardprotokolle AWS WAF Die Protokolle enthalten Mandantenkennungen für die Zuordnung von Sicherheitsereignissen