Dieses Dokument wird nur zu Informationszwecken bereitgestellt. Es stellt die aktuellen Produktangebote und -praktiken von Amazon Web Services (AWS) zum Ausstellungsdatum dieses Dokuments dar, die sich ohne vorherige Ankündigung ändern können. Die Kunden sind dafür verantwortlich, ihre eigene unabhängige Bewertung der Informationen in diesem Dokument und jede Nutzung von AWS-Produkten oder -Dienstleistungen durchzuführen, von denen jede „wie besehen“ ohne ausdrückliche oder stillschweigende Gewährleistung jeglicher Art bereitgestellt wird. Dieses Dokument enthält keine Garantien, Zusicherungen, vertraglichen Verpflichtungen, Bedingungen oder Zusicherungen von AWS, seinen verbundenen Unternehmen, Lieferanten oder Lizenzgebern. Die Verantwortlichkeiten und Verbindlichkeiten von AWS gegenüber seinen Kunden werden durch AWS-Vereinbarungen kontrolliert, und dieses Dokument ist weder Teil noch ändert es eine Vereinbarung zwischen AWS und seinen Kunden.
© 2024 Amazon Web Services, Inc. oder seine verbundenen Unternehmen. Alle Rechte vorbehalten. Dieses Werk ist unter einer Creative Commons Attribution 4.0 International License lizenziert.
Dieser AWS-Inhalt wird gemäß den Bedingungen der AWS-Kundenvereinbarung bereitgestellt, die unter http://aws.amazon.com/agreement verfügbar ist, oder einer anderen schriftlichen Vereinbarung zwischen dem Kunden und entweder Amazon Web Services, Inc. oder Amazon Web Services EMEA SARL oder beiden.
Autor: Name des Autors“\ Genehmiger: Name des Genehmigers“
Letztes Datum genehmigt:
Dieses Playbook beschreibt den Prozess zur Reaktion auf Denial-of-Service/Distributed Denial of Service (DOS/DDoS) -Angriffe auf gehostete AWS.
- Eine Internetanwendung ist stark belastet, entweder aufgrund von Beliebtheit oder böswilliger Absicht
- Eine einzelne EC2-Instanz wird zum Hosten einer Anwendung verwendet, und wir löschen/gestalten den Datenverkehr (der Kunde wird über AWS Abuse benachrichtigt)
- Ergebnisse im AWS Shield Dashboard
- Backdoor:EC2/DenialOfService.Dns
- Backdoor:EC2/DenialOfService.Tcp
- Backdoor:EC2/DenialOfService.Udp
- Backdoor:EC2/DenialOfService.UdpOnTcpPorts
- Backdoor:EC2/DenialOfService.UnusualProtocol
- Backdoor:EC2/Spambot
- Behavior:EC2/NetworkPortUnusual
- Behavior:EC2/TrafficVolumeUnusual
Konzentrieren Sie sich während der Ausführung des Playbooks auf die gewünschten -Ergebnis und machen Sie sich Notizen zur Verbesserung der Funktionen zur Reaktion auf Vorfälle.
- Ausgenutzte Schwachstellen
- Exploits und Tools beobachtet
- Absicht des Schauspieler
- Zuordnung des Schauspieler
- Schaden der Umwelt und dem Unternehmen verursacht
- Zurück zur ursprünglichen und gehärteten Konfiguration
[Sicherheitsperspektive des AWS Cloud Adoption Framework] (https://docs.aws.amazon.com/whitepapers/latest/aws-caf-security-perspective/aws-caf-security-perspective.html)
- Richtlinie
- Detektiv
- Verantwortlich
- Präventiv
! [Bild] (/images/aws_caf.png)
- [PREPARATION] Erstellen Sie einen öffentlich exponierten Vermögensbestand
- [VORBEREITUNG] Implementieren Sie Schulungen zur Behebung von DOS/DDoS-Angriffen
- [PREPARATION] Entwickeln Sie eine Kommunikationsstrategie zur Eskalation und Meldung von Ereignissen
- [VORBEREITUNG] Führen Sie Dokumentationsprüfungen durch, um sicherzustellen, dass die Verfahren eingehalten und aktuell bleiben
- [ERKENNUNG UND ANALYSE] AWS Shield implementieren
- [ERKENNUNG UND ANALYSE] Nutzen Sie das Global Threat Environment Dashboard mit AWS Shield
- [ERKENNUNG UND ANALYSE] Erwägen Sie, AWS Shield Advanced zu verwenden
- [PREPARATION] Eskalations- und Benachrichtigungsverfahren implementieren
- [ERKENNUNG UND ANALYSE] Erkennung und Abschwächung durchführen
- [ERKENNUNG UND ANALYSE] Identifizieren Sie Top-Mitwirkende
- [EINDÄMMUNG] Eindämmung durchführen
- [ERADICATION] Ausrottung durchführen
- [AKTIVITÄTEN NACH VORFALLEN] Fordern Sie eine Gutschrift in AWS Shield Advanced an
- [VORBEREITUNG] Zusätzliche vorbeugende Maßnahmen: Mitigationstechniken
- [VORBEREITUNG] Zusätzliche vorbeugende Maßnahmen: Reduktion der Angriffsfläche
- [VORBEREITUNG] Zusätzliche vorbeugende Maßnahmen: Betriebstechniken
- [VORBEREITUNG] Zusätzliche vorbeugende Maßnahmen: Allgemeine Sicherheitslage
***Die Antwortschritte folgen dem Lebenszyklus der Incident Response von [NIST Special Publication 800-61r2 Computer Security Incident Handling Guide] (https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf)
! [Bild] (/images/nist_life_cycle.png) ***
- Taktiken, Techniken und Verfahren: Diensteverweigerung/Distributed Denial of Service Attacken
- Kategorie: DOS/DDoS
- Ressource: Netzwerk
- Indikatoren: Cyber Threat Intelligence, Hinweis Dritter, Cloudwatch-Metriken, AWS Shield
- Protokollquellen: AWS CloudTrail, AWS Config, VPC Flow Logs, Amazon GuardDuty
- Teams: Security Operations Center (SOC), Forensische Ermittler, Cloud Engineering
- Vorbereitung
- Erkennung & Analyse
- Eindämmung & Ausrottung
- Erholung
- Aktivität nach dem Vorfall
Dieses Playbook verweist und integriert sich, wenn möglich, in [Prowler] (https://github.com/toniblyx/prowler), einem Befehlszeilen-Tool, das Ihnen bei der AWS-Sicherheitsbewertung, -überwachung, -härtung und Reaktion auf Vorfälle hilft.
Es folgt den Richtlinien des CIS Amazon Web Services Foundations Benchmark (49 Schecks) und verfügt über mehr als 100 zusätzliche Kontrollen, darunter im Zusammenhang mit DSGVO, HIPAA, PCI-DSS, ISO-27001, FFIEC, SOC2 und anderen.
Dieses Tool bietet eine schnelle Momentaufnahme des aktuellen Sicherheitszustands in einer Kundenumgebung. Darüber hinaus bietet [AWS Security Hub] (https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) ein automatisiertes Compliance-Scannen und kann [in Prowler integrieren] ( https://github.com/toniblyx/prowler/blob/b0fd6ce60f815d99bb8461bb67c6d91b6607ae63/README.md#security-hub-integration)
Finden Sie Ressourcen, die dem Internet ausgesetzt sind: . /prowler -g gruppe17
Sie können Security Hub und Firewall Manager verwenden, um [eine zentrale Überwachung für DDoS-Ereignisse einzurichten und nicht konforme Ressourcen automatisch zu beheben] (https://aws.amazon.com/blogs/security/set-up-centralized-monitoring-for-ddos-events-and-auto-remediate-noncompliant-resources/)
Welche Schulung gibt es für Analysten innerhalb des Unternehmens, um sich mit der AWS API (Befehlszeilenumgebung), S3, RDS und anderen AWS-Services vertraut zu machen?
Zu den Möglichkeiten zur Bedrohungserkennung und zur Reaktion auf Vorfälle gehören:
[AWS RE:INFORCE] (https://reinforce.awsevents.com/faq/)\
[Self-Service Security Assessment] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/)
Welche Rollen können Änderungen an Diensten in Ihrem Konto vornehmen?Welchen Benutzern haben diese Rollen ihnen zugewiesen? Wird das geringste Privileg befolgt oder gibt es Super-Admin-Benutzer?Wurde eine Sicherheitsbewertung für Ihre Umgebung durchgeführt, haben Sie eine bekannte Baseline, um „neue“ oder „verdächtige“ Dinge zu erkennen?
Welche Technologie wird innerhalb des Team/Unternehmens verwendet, um Probleme zu kommunizieren? Ist irgendetwas automatisiert?
Telefon
E-Mail
AWS SES
AWS SNS
Slack
Glockenspiel
Andere?
- Machen Sie sich mit der [AWS Shield Shield-Dokumentation] vertraut (https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)
- Wenn Sie abonniert sind, folgen Sie dem [Erste Schritte mit AWS Shield Advanced Guide] (https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html)
In der Tabelle Empfohlene Amazon CloudWatch Metrics werden Beschreibungen von Amazon CloudWatch-Metriken aufgeführt, die häufig zum Erkennen und Reagieren auf DDoS-Angriffe verwendet werden.
- AWS Shield Advanced: DDoSDetected
- Zeigt ein DDoS-Ereignis für einen bestimmten Amazon Resource Name (ARN) an.
- AWS Shield Advanced: DDoSAttackBitsPerSecond
- Die Anzahl der Bytes, die während eines DDoS-Ereignisses für einen bestimmten ARN beobachtet wurden. Diese Metrik ist nur für Layer-3/4-DDoS-Ereignisse verfügbar.
- AWS Shield Advanced: DDoSAttackPacketsPerSecond
- Die Anzahl der Pakete, die während eines DDoS-Ereignisses für einen bestimmten ARN beobachtet wurden. Diese Metrik ist nur für Layer-3/4-DDoS-Ereignisse verfügbar.
- AWS Shield Advanced: DDoSAttackRequestsPerSecond DdosatTackRequestsperSecond
- Die Anzahl der Anfragen, die während eines DDoS-Ereignisses für einen bestimmten ARN beobachtet wurden. Diese Metrik ist nur für Layer-7-DDoS-Ereignisse verfügbar und wird nur für die wichtigsten Layer-7-Ereignisse gemeldet.
- AWS WAF: AllowedRequests
- Die Anzahl der zulässigen Webanfragen.
- AWS WAF: BlockedRequests
- Die Anzahl der blockierten Webanfragen.
- AWS WAF: CountedRequests
- Die Anzahl der gezählten Webanfragen.
- AWS WAF: PassedRequests
- Die Anzahl der bestandenen Anfragen. Dies wird nur für Anfragen verwendet, die eine Regelgruppenauswertung durchlaufen, ohne mit einer der Regelgruppenregeln zu übereinstimmen.
- CloudFront: Requests
- Die Anzahl der HTTP/S-Anfragen.
- CloudFront: TotalErrorRate
- Der Prozentsatz aller Anfragen, für die der HTTP-Statuscode 4xx oder 5xx ist.
- Amazon Route 53: HealthCheckStatus
- Der Status des Endpunkts für die Integritätsprüfung.
- ALB: ActiveConnectionCount
- Die Gesamtzahl der gleichzeitigen TCP-Verbindungen, die von Clients zum Load Balancer und vom Load Balancer zu Zielen aktiv sind.
- ALB: ConsumedLCUs
- Die Anzahl der Load Balancer-Kapazitätseinheiten (LCU), die von Ihrem Load Balancer verwendet werden.
- ALB: HTTPCode_ELB_4XX_Count HTTPCode_ELB_5XX_Count
- Die Anzahl der vom Load Balancer generierten HTTP 4xx- oder 5xx-Client-Fehlercodes.
- ALB: NewConnectionCount
- Die Gesamtzahl der neuen TCP-Verbindungen, die von Clients zum Load Balancer und vom Load Balancer zu Zielen hergestellt wurden.
- ALB: ProcessedBytes
- Die Gesamtzahl der vom Load Balancer verarbeiteten Bytes.
- ALB: RejectedConnectionCount
- Die Anzahl der zurückgewiesenen Verbindungen, weil der Load Balancer seine maximale Anzahl von Verbindungen erreicht hat.
- ALB: RequestCount
- Die Anzahl der Anfragen, die bearbeitet wurden.
- ALB: TargetConnectionErrorCount
- Die Anzahl der Verbindungen, die zwischen dem Load Balancer und dem Ziel nicht erfolgreich hergestellt wurden.
- ALB: TargetResponseTime
- Die Zeit, die in Sekunden verstrichen ist, nachdem die Anforderung den Load Balancer verlassen hat, bis eine Antwort vom Ziel empfangen wurde.
- ALB: UnHealthyHostCount
- Die Anzahl der Ziele, die als ungesund gelten.
- NLB: ActiveFlowCount
- Die Gesamtzahl der gleichzeitigen TCP-Flüsse (oder Verbindungen) von Clients zu Zielen.
- NLB: ConsumedLCUs
- Die Anzahl der Load Balancer-Kapazitätseinheiten (LCU), die von Ihrem Load Balancer verwendet werden.
- NLB: NewflowCount
- Die Gesamtzahl der neuen TCP-Flüsse (oder Verbindungen), die im Zeitraum von Clients zu Zielen eingerichtet wurden.
- NLB: ProcessedBytes
- Die Gesamtzahl der vom Load Balancer verarbeiteten Bytes, einschließlich TCP/IP-Header.
- Global Accelerator NewFlowCount
- Die Gesamtzahl der neuen TCP- und UDP-Flüsse (oder Verbindungen), die im Zeitraum von Clients zu Endpunkten hergestellt wurden.
- Global Accelerator: ProcessedBytesIn
- Die Gesamtzahl der eingehenden Bytes, die vom Accelerator verarbeitet werden, einschließlich TCP/IP-Header.
- Auto Scaling: GroupMaxSize
- Die maximale Größe der Auto Scaling Scaling-Gruppe.
- Amazon EC2: CPUUtilization
- Der Prozentsatz der zugewiesenen EC2-Recheneinheiten, die derzeit verwendet werden.
- Amazon EC2: NetworkIn
- Die Anzahl der von der Instanz auf allen Netzwerkschnittstellen empfangenen Bytes.
Die [AWS WAF & Shield console] (https://console.aws.amazon.com/wafv2/shieldv2) oder die API liefern eine Zusammenfassung und Details zu erkannten Angriffen.
- Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS WAF & Shield console] (https://console.aws.amazon.com/wafv2/)
- Wählen Sie in der AWS Shield Shield-Navigationsleiste Überblick oder Ereignisse
Das Global Threat Environment Dashboard bietet zusammenfassende Informationen über alle DDoS-Angriffe, die von AWS erkannt wurden.
- Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS WAF & Shield console] (https://console.aws.amazon.com/wafv2/)
- Wählen Sie in der AWS Shield Shield-Navigationsleiste das Dashboard für globale Bedrohungen aus
- Wählen Sie einen Zeitraum aus.
- Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS WAF & Shield console] (https://console.aws.amazon.com/wafv2/)
- Wählen Sie in der AWS Shield Shield-Navigationsleiste Überblick oder Ereignisse
Sie haben Zugriff auf eine Reihe von CloudWatch-Metriken, die darauf hinweisen können, dass Ihre Anwendung ins Visier genommen wird.
- Sie können die DdosDetected-Metrik konfigurieren, um Ihnen mitzuteilen, ob ein Angriff erkannt wurde.
- Wenn Sie basierend auf dem Angriffsvolume alarmiert werden möchten, können Sie auch die Metriken DDoSAttackBitsPerSecond, DDoSAttackPacketsPerSecond oder DdosatTackRequestsperSecond-Metriken verwenden.
Eine vollständige Liste der verfügbaren Metriken ist in der Tabelle in der [DDoS-Sichtbarkeit] verfügbar (https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/visibility.html)
Wer überwacht die Logs/Warnungen, empfängt sie und reagiert auf jeden?Wer wird benachrichtigt, wenn eine Warnung entdeckt wird?Wann werden Öffentlichkeitsarbeit und Recht in den Prozess einbezogen?Wann würden Sie sich an den AWS Support wenden, um Hilfe zu erhalten?
Wer überwacht die Logs/Warnungen, empfängt sie und reagiert auf jeden?Wer wird benachrichtigt, wenn eine Warnung entdeckt wird?Wann werden Öffentlichkeitsarbeit und Recht in den Prozess einbezogen?Haben Sie die AWS-Ressourcen angegeben, die Sie mit Shield Advanced schützen möchten?
- Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS WAF & Shield console] (https://console.aws.amazon.com/wafv2/)
- Wählen Sie in der AWS Shield Shield-Navigationsleiste Geschützte Ressourcen
Haben Sie das DDoS Response Team (DRT) autorisiert, auf Ihre WAF-Regeln und -Protokolle zuzugreifen? Dies hilft ihnen, Angriffe zu mildern, wenn Sie Hilfe anfordern.
- Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS WAF & Shield console] (https://console.aws.amazon.com/wafv2/)
- Wählen Sie in der AWS Shield Shield-Navigationsleiste Überblick
- Konfigurieren Sie die AWS DRT-Unterstützung `DRT-Zugriff bearbeiten'
Benötigen Sie Unterstützung vom AWS DDoS Response Team?
- Sie können einen Fall unter AWS Shield im AWS Support Center eröffnen
- Um Unterstützung für das DDoS Response Team (DRT) zu erhalten, wenden Sie sich an das AWS Support Center und wählen Sie die folgenden Optionen aus:
- Falltyp: Technischer Support
- Service: Verteilte Diensteverweigerung (DDoS)
- Kategorie: Inbound to AWS
- Mit dem proaktiven Engagement von AWS Shield Advanced kontaktiert das DRT Sie direkt, wenn der mit Ihrer geschützten Ressource verknüpfte Zustandsprüfung von Amazon Route 53 während eines Ereignisses, das von Shield Advanced erkannt wird, ungesund wird.
- Melden Sie sich bei der AWS Management Console an und öffnen Sie die [AWS WAF & Shield console] (https://console.aws.amazon.com/wafv2/)
- Wählen Sie in der AWS Shield Shield-Navigationsleiste Ereignisse
Auf der Registerkarte Erkennung und Abschwächung werden Diagramme angezeigt, die den Datenverkehr zeigen, den AWS Shield vor der Meldung dieses Ereignisses ausgewertet hat, und die Auswirkungen einer abgesetzten Minderung. Es bietet auch Metriken für Infrastruktur-Layer-Ereignisse für Distributed Denial of Service (DDoS) für Ressourcen in Ihren eigenen Amazon Virtual Private Cloud VPC- und AWS Global Accelerator-Beschleunigern. Erkennungs- und Minderungsmetriken sind für Amazon CloudFront- oder Amazon Route 53-Ressourcen nicht enthalten.
Die Registerkarte „Top-Mitwirkende“ bietet einen Einblick, woher der Datenverkehr während eines erkannten Ereignisses kommt. Sie können die Mitwirkenden mit dem höchsten Volume anzeigen, sortiert nach Aspekten wie Protokoll, Quellport und TCP-Flags. Sie können die Informationen herunterladen und die verwendeten Einheiten und die Anzahl der anzuzeigenden Mitwirkenden anpassen.
[Best Practices für die DDoS-Ausfallsicherheit von AWS] (https://d0.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf)
In diesem Whitepaper bietet AWS Ihnen präskriptive DDoS-Anleitungen zur Verbesserung der Ausfallsicherheit von Anwendungen, die auf AWS ausgeführt werden. Dies beinhaltet eine DDOS-resiliente Referenzarchitektur, die als Leitfaden zum Schutz der Anwendungsverfügbarkeit verwendet werden kann. In diesem Whitepaper werden auch verschiedene Angriffstypen beschrieben, wie Angriffe auf Infrastrukturschicht und Angriffe auf Anwendungsebene. AWS erklärt, welche Best Practices für die Verwaltung jeder Angriffstyp am effektivsten sind Darüber hinaus werden die Dienste und Funktionen, die in eine DDoS-Minderungsstrategie passen, skizziert, und wie jeder zum Schutz Ihrer Anwendungen verwendet werden kann, wird erläutert. Eindämmungsverfahren gehen von der Verwendung von AWS Web Application Firewalls aus. Wenn eine WAF oder Firewall eines Drittanbieters verwendet wird, passen Sie diese Verfahren hier an Ihren Anwendungsfall an.
- Erstellen Sie Bedingungen in AWS WAF, die dem ungewöhnlichen Verhalten entsprechen.
- Fügen Sie diese Bedingungen einer oder mehreren AWS WAF WAF-Regeln hinzu.
- Fügen Sie diese Regeln einer Web-ACL hinzu und konfigurieren Sie die Web-ACL so, dass die Anforderungen gezählt werden, die den Regeln entsprechen.
- HINWEIS Sie sollten Ihre Regeln immer zuerst testen, indem Sie zunächst Count statt Block verwenden. Nachdem Sie sich sicher sind, dass die neue Regel die richtigen Anforderungen identifiziert, können Sie Ihre Regel so ändern, dass diese Anfragen blockiert werden.
- Überwachen Sie diese Zählungen, um festzustellen, ob die Quelle der Anfragen blockiert werden soll. Wenn das Volumen der Anfragen weiterhin ungewöhnlich hoch ist, ändern Sie Ihre Web-ACL, um diese Anfragen zu blockieren.
Nicht anwendbar
Wenn Sie AWS Shield Advanced abonniert haben und einen DDoS-Angriff erleben, der die Auslastung einer geschützten Shield Advanced-Ressource erhöht, können Sie eine Gutschrift für Gebühren im Zusammenhang mit der erhöhten Auslastung beantragen, soweit sie von Shield Advanced nicht gemildert wird.
Weitere Informationen finden Sie in AWS-Dokumenten unter [Guthaben in AWS Shield Advanced beantragen] (https://docs.aws.amazon.com/waf/latest/developerguide/request-refund.html)
In AWS werden automatisch Funktionen zur DDoS-Minderung bereitgestellt
- AWS Shield Standard schützt sich vor den häufigsten, häufig auftretenden DDoS-Angriffen auf Netzwerk- und Transportschichten, die auf Ihre Website oder Ihre Anwendungen abzielen. Dies wird für alle AWS-Services und in jeder AWS-Region ohne zusätzliche Kosten angeboten.
- Sie können Ihre Bereitschaft verbessern, auf DDoS-Angriffe zu reagieren und sie zu mildern, indem Sie AWS Shield Advanced abonnieren. Dieser optionale DDoS-Minderungsdienst hilft Ihnen, eine Anwendung zu schützen, die in jeder AWS-Region gehostet wird. Der Service ist weltweit für Amazon CloudFront und Amazon Route 53 verfügbar. Es ist auch in ausgewählten AWS-Regionen für Classic Load Balancer (CLB), Application Load Balancer (ALB) und Elastic IP Adressen (EIPs) verfügbar. Durch die Verwendung von AWS Shield Advanced mit EIPs können Sie Network Load Balancer (NLBs) oder Amazon EC2 EC2-Instanzen schützen.
- Zu den wichtigsten Überlegungen zur Minderung volumetrischer DDoS-Angriffe gehören die Sicherstellung, dass genügend Transitkapazität und Vielfalt verfügbar sind, und der Schutz Ihrer AWS-Ressourcen wie Amazon EC2 EC2-Instances vor Angriffsverkehr
- Große DDoS-Angriffe können die Kapazität einer einzelnen Amazon EC2 EC2-Instance überfordern, so dass das Hinzufügen von Load Balancing Ihre Ausfallsicherheit unterstützen kann.
- Mit Amazon CloudFront können Sie statische Inhalte zwischenspeichern und von AWS Edge-Standorten aus bereitstellen, was dazu beitragen kann, die Belastung Ihrer Herkunft zu reduzieren.
- Mithilfe von AWS WAF können Sie Webzugriffskontrolllisten (Web-ACLs) auf Ihren CloudFront-Distributionen oder Application Load Balancers konfigurieren, um Anfragen basierend auf Anforderungssignaturen zu filtern und zu blockieren.
- Sie können Sicherheitsgruppen angeben, wenn Sie eine Instance starten, oder Sie können die Instance zu einem späteren Zeitpunkt einer Sicherheitsgruppe zuordnen. Der gesamte Internetverkehr zu einer Sicherheitsgruppe wird implizit verweigert, es sei denn, Sie erstellen eine Zulassungsregel, die den Datenverkehr zulässt.
- Wenn Sie AWS Shield Advanced abonniert haben, können Sie Elastic IPs (EIPs) als Geschützte Ressourcen registrieren.
- Wenn Sie Amazon CloudFront mit einem Ursprung in Ihrer VPC verwenden, sollten Sie eine AWS Lambda-Funktion verwenden, um Ihre Sicherheitsgruppenregeln automatisch zu aktualisieren, um nur Amazon CloudFront CloudFront-Datenverkehr zuzulassen.
- Wenn Sie eine API der Öffentlichkeit zugänglich machen müssen, besteht in der Regel die Gefahr, dass das API-Frontend durch einen DDoS-Angriff ins Visier genommen wird. Um das Risiko zu reduzieren, können Sie Amazon API Gateway als Einstieg für Anwendungen verwenden, die auf Amazon EC2, AWS Lambda oder anderswo ausgeführt werden.
- Wenn Sie Amazon CloudFront und AWS WAF mit Amazon API Gateway verwenden, konfigurieren Sie die folgenden Optionen:
- Konfigurieren Sie das Cache-Verhalten für Ihre Distributionen, um alle Header an den regionalen Endpunkt des API Gateway weiterzuleiten. Auf diese Weise behandelt CloudFront den Inhalt als dynamisch und überspringt das Zwischenspeichern des Inhalts.
- Schützen Sie Ihr API Gateway vor direktem Zugriff, indem Sie die Distribution so konfigurieren, dass sie den x-api-key des ursprünglichen benutzerdefinierten Headers enthält, indem Sie den API-Schlüsselwert in API Gateway festlegen.
- Schützen Sie Ihr Backend vor übermäßigem Datenverkehr, indem Sie Standard- oder Burst-Rate-Limits für jede Methode in Ihren RESTAPIs konfigurieren.
Wenn eine wichtige Betriebsmetrik erheblich vom erwarteten Wert abweicht, versucht ein Angreifer möglicherweise, die Verfügbarkeit Ihrer Anwendung ins Visier zu nehmen. Wenn Sie mit dem normalen Verhalten Ihrer Anwendung vertraut sind, können Sie schneller Maßnahmen ergreifen, wenn Sie eine Anomalie feststellen.
- Wenn Sie Ihre Anwendung entworfen haben, indem Sie der DDOS-resilient-Referenzarchitektur folgen, werden allgemeine Angriffe auf Infrastrukturschichten blockiert, bevor Sie Ihre Anwendung erreichen.
- Wenn Sie AWS WAF verwenden, können Sie CloudWatch verwenden, um die Zunahme von Anforderungen, die Sie in WAF festgelegt haben, zu überwachen und zu alarmieren, um zugelassen, gezählt oder blockiert zu werden. Auf diese Weise können Sie eine Benachrichtigung erhalten, wenn der Datenverkehr übersteigt, was Ihre Anwendung verarbeiten kann.
Eine Beschreibung der Amazon CloudWatch-Metriken, die häufig zum Erkennen und Reagieren auf DDoS-Angriffe verwendet werden, finden Sie in der Tabelle in der [DDoS-Sichtbarkeit] (https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/visibility.html)
Führen Sie eine [Self-Service Security Assessment] (https://aws.amazon.com/blogs/publicsector/assess-your-security-posture-identify-remediate-security-gaps-ransomware/) gegen die Umgebung durch, um andere Risiken und möglicherweise andere öffentliche Exposition, die in diesem Playbook nicht identifiziert wurden, weiter zu identifizieren.
„Dies ist ein Ort, an dem Sie Elemente hinzufügen können, die für Ihr Unternehmen spezifisch sind, die nicht „repariert“ werden müssen, aber wichtig sind, wenn Sie dieses Playbook zusammen mit den betrieblichen und geschäftlichen Anforderungen ausführen. `
- Als Incident Responder benötige ich einen dokumentierten Eskalationspfad sowohl intern als auch extern zu AWS