Verwendung AWS WAF mit Amazon CloudFront - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit
Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung AWS WAF mit Amazon CloudFront

Erfahren Sie, wie Sie die CloudFront Funktionen von Amazon verwenden AWS WAF können.

Wenn Sie ein Schutzpaket (Web-ACL) erstellen, können Sie eine oder mehrere CloudFront Distributionen angeben, die Sie überprüfen AWS WAF möchten. CloudFront unterstützt zwei Arten von Verteilungen: Standardverteilungen, die einzelne Mandanten schützen, und Mehrmandantenverteilungen, die mehrere Mandanten über eine einzige, gemeinsam genutzte Konfigurationsvorlage schützen. AWS WAF überprüft Webanfragen für beide Verteilungstypen auf der Grundlage der Regeln, die Sie in Ihren Schutzpaketen (Web ACLs) definieren, mit unterschiedlichen Implementierungsmustern für jeden Typ.

Themen

Wie AWS WAF funktioniert mit verschiedenen Verteilungstypen

Verteilungstypen

AWS WAF bietet Firewall-Funktionen für Webanwendungen sowohl für Standard- als auch für Mehrmandantenverteilungen. CloudFront

Standardverteilungen

Fügt bei Standardverteilungen Schutz AWS WAF hinzu, indem für jede Distribution ein einziges Schutzpaket (Web-ACL) verwendet wird. Sie können diesen Schutz aktivieren, indem Sie ein vorhandenes Schutzpaket (Web-ACL) einer CloudFront Distribution zuordnen oder indem Sie den Ein-Klick-Schutz in der Konsole verwenden. CloudFront Auf diese Weise können Sie die Sicherheitskontrollen für jede Ihrer Distributionen unabhängig voneinander verwalten, da sich alle Änderungen an einem Schutzpaket (Web-ACL) nur auf die zugehörige Distribution auswirken.

Diese einfache Methode zum Schutz von CloudFront Distributionen ist optimal, um einzelnen Domänen mit einem einzigen Schutzpaket (Web-ACL) spezifische Schutzmaßnahmen zu bieten.

Überlegungen zur Standardverteilung

  • Änderungen an einem Schutzpaket (Web-ACL) wirken sich nur auf die zugehörige Distribution aus

  • Für jede Distribution ist eine unabhängige Konfiguration des Protection Packs (Web-ACL) erforderlich

  • Regeln und Regelgruppen werden für jede Distribution separat verwaltet

Distributionen für mehrere Mandanten

AWS WAF Fügt bei Distributionen mit mehreren Mandanten mithilfe eines einzigen Schutzpakets (Web-ACL) Schutz für mehrere Domänen hinzu. Domänen, die von Mehrmandantenverteilungen verwaltet werden, werden als Verteilungsmandanten bezeichnet. Sie können den AWS WAF Schutz für Mehrmandantenverteilungen nur in der CloudFront Konsole aktivieren, entweder während oder nach der Erstellung der Mehrmandantenverteilung. Änderungen an einem Schutzpaket (Web-ACL) werden jedoch weiterhin über die AWS WAF Konsole oder API verwaltet.

Distributionen mit mehreren Mandanten bieten die Flexibilität, AWS WAF Schutzmaßnahmen auf zwei Ebenen zu aktivieren:

  • Mehrinstanzenfähige Verteilungsebene — Die zugehörigen Schutzpakete (Web ACLs) bieten grundlegende Sicherheitskontrollen, die für alle Anwendungen gelten, die diese Distribution gemeinsam nutzen

  • Verteilungsmandantenebene — Einzelne Mandanten innerhalb einer Mehrmandanten-Distribution können über eigene Schutzpakete (Web ACLs) verfügen, um zusätzliche Sicherheitskontrollen zu implementieren oder die Einstellungen für die Verteilung mehrerer Mandanten außer Kraft zu setzen

Durch diese beiden Stufen eignen sich Mehrmandantenverteilungen optimal für die gemeinsame Nutzung von AWS WAF Schutzmaßnahmen über mehrere Domänen hinweg, ohne dass die Möglichkeit verloren geht, die Sicherheit für eine einzelne Verteilung individuell anzupassen.

Überlegungen zur Verteilung über mehrere Mandanten

  • Einzelne Distributionsmandanten übernehmen Änderungen, die an Schutzpaketen (Web ACLs) vorgenommen wurden und die entsprechenden Distributionen mit mehreren Mandanten zugeordnet sind

  • Die Schutzpakete (Web ACLs), die bestimmten Distributionsmandanten zugeordnet sind, können Einstellungen außer Kraft setzen, die auf der Ebene des Multi-Tenant Protection Packs (Web-ACL) konfiguriert wurden

  • Verwaltete Regelgruppen können sowohl auf Verteilungs- als auch auf Verteilungsmandantenebene implementiert werden

  • Anwendungskennungen können in Protokollen gespeichert werden, um Sicherheitsereignisse nach Verteilung nachzuverfolgen

AWS WAF Funktionen nach Verteilungstyp

Vergleichen Sie die Implementierungen des Protection Packs (Web-ACL)
AWS WAF Funktion Standardverteilungen Distributionen für mehrere Mandanten
Schutzpakete zuordnen (Web) ACLs Ein Schutzpaket (Web-ACL) pro Distribution Sie können Schutzpakete (Web ACLs) mandantenübergreifend gemeinsam nutzen, wobei optionale mandantenspezifische Schutzpakete (Web) erhältlich sind ACLs
Verwaltung von Regeln Regeln wirken sich auf eine einzelne Verteilung aus Verteilungsregeln für mehrere Mandanten wirken sich auf alle zugehörigen Mandanten aus. Verteilungsmandantenspezifische Regeln wirken sich nur auf diesen Mandanten aus
Verwaltete Regelgruppen Wird auf einzelne Verteilungen angewendet Kann auf Verteilungsebene für mehrere Mandanten für alle Mandanten oder auf Mandantenebene für bestimmte Anwendungen angewendet werden
Protokollierung Standardprotokolle AWS WAF Die Protokolle enthalten Mandantenkennungen für die Zuordnung von Sicherheitsereignissen