Erste Schritte mit AWS Edge Services

Praktische Tutorials und Inhalte zu den grundlegenden Konzepten.

AWS Edge Services

Eine AWS-Region ist ein physischer Standort, an dem AWS Rechenzentren clustert und regionale Dienste wie EC2 und S3 betreibt. Im speziellen Fall von Online-Anwendungen kann der User-Traffic mehrere öffentliche Netzwerke durchqueren, bis er eine regionale Infrastruktur erreicht. Um die Nachteile im Hinblick auf Leistung, Zuverlässigkeit und Sicherheit zu verhindern, die beim Durchqueren unkontrollierter Netzwerke bestehen, sollten Sie erwägen, Ihre Architektur um AWS Edge Services zu erweitern. AWS-Edge-Services wie Amazon CloudFront und AWS Global Accelerator werden über Hunderte von weltweit verteilten Points of Presence (PoPs) außerhalb von AWS-Regionen betrieben. Benutzer werden von diesen PoPs im Durchschnitt innerhalb von 20 bis 30 Millisekunden bedient, und bei Bedarf wird ihr Datenverkehr über das globale AWS-Netzwerk an Ihre regionale Infrastruktur zurückgeleitet, anstatt über das öffentliche Internet zu laufen. Die globale AWS-Infrastruktur ist eine speziell entwickelte, hochverfügbare private Infrastruktur mit geringer Latenz, die auf einem globalen, vollständig redundanten Metro-Glasfasernetz aufbaut, das über terrestrische und transozeanische Kabel auf der ganzen Welt miteinander verbunden ist.

Stellen Sie Inhalte sicher mit geringer Latenz und hohen Übertragungsgeschwindigkeiten bereit.

Schützen Sie Ihre Webanwendungen vor häufigen Exploits.

Maximieren Sie Verfügbarkeit und Reaktionsfähigkeit von Anwendungen dank DDoS-Schutz.

Verwalten und konfigurieren Sie Firewall-Regeln zentral für Ihre Konten.

Verbessern Sie die Verfügbarkeit, Leistung und Sicherheit von Anwendungen mithilfe des globalen AWS-Netzwerks.

Amazon CloudFront, das CDN von AWS

Amazon CloudFront ist ein Netzwerk zur Bereitstellung von Inhalten (Content Delivery Network, CDN). CloudFront wird genutzt, um HTTP(S)-basierte Webanwendungen zu beschleunigen und deren Verfügbarkeit und Sicherheit zu verbessern. CloudFront kann in Anwendungsfällen wie der vollständigen Bereitstellung von Websites, API-Schutz und -Beschleunigung, adaptivem Videostreaming und Software-Download verwendet werden. Um diesen Service zu nutzen, erstellen Sie eine CloudFront-Distribution, konfigurieren Ihren Ursprung (jeden Ursprung, der einen öffentlich zugänglichen Domainnamen hat), stellen mithilfe von Amazon Certificate Manager ein gültiges TLS-Zertifikat aus und hängen es an. Dann konfigurieren Sie Ihren autoritativen DNS-Server so, dass der Domainname Ihrer Webanwendung auf den generierten Domainnamen der Distribution verweist (xyz.cloudfront.net). Während der DNS-Auflösungsphase (wenn Benutzer zu Ihrer Webanwendung gehen) wird eine HTTP(S)-Anfrage dynamisch an den in Bezug auf Latenz und Verfügbarkeit besten CloudFront-PoP umgeleitet. Sobald der PoP ausgewählt ist, beendet der Benutzer die TCP-Verbindung (einschließlich des TLS-Handshakes) auf einem der PoP-Server und sendet dann die HTTP-Anfrage. Wenn der Inhalt in einer der Cache-Ebenen von CloudFront zwischengespeichert wird, wird die Anfrage lokal von CloudFront erfüllt. Andernfalls wird die Anfrage an den Ursprung weitergeleitet. CloudFront hat zwei Ebenen in seiner Infrastruktur. Die erste Ebene basiert auf Edge-Standorten, an denen die Verbindungen der Benutzer beendet und DDoS-Angriffe auf Ebene 3/4 abgewehrt werden. Sie bieten Caching-Funktionen und führen, falls konfiguriert, CloudFront-Funktionen aus und wenden WAF-Regeln an. Die zweite Ebene basiert auf regionalen Edge-Caches, die in AWS-Regionen gehostet werden. Sie bietet längere Cache-Aufbewahrungszeiten für bessere Cache-Trefferraten und führt Lambda@Edge -Funktionen aus, wenn sie konfiguriert sind. CloudFront sorgt für eine dynamische Optimierung dieser Ebenen für jedes HTTP je nach Art. Beispielsweise überspringen bestimmte HTTP-Anfragen Ebenen (z. B. Anfragen mit deaktiviertem Caching, POST/PUT/DELETE-Anfragen, Anfragen für Objekte, die mithilfe des Cache-Control-Antwortheaders als nicht zwischenspeicherbar gekennzeichnet sind usw.). So können sie von Edge-Standorten direkt an Ihren Ursprung gesendet werden.
Schließlich führt CloudFront Logik in einer bestimmten Reihenfolge aus. Zuerst führt CloudFront seine nativen Sicherheitskontrollen aus (z. B. TLS-Richtlinie, HTTP-to-HTTPS-Umleitung, Geoblocking, signierte URLs), anschließend die Regeln einer AWS WAF-WebACL, falls konfiguriert, und dann den Code einer Edge-Funktion, falls sie für ein Viewer-Anforderungsereignis konfiguriert ist. Dann überprüft es seinen Cache, um zu sehen, ob die Anfrage zwischengespeichert werden kann. Danach führt es den Code von Lambda@Edge aus, falls er beim Ursprungsanforderungsereignis konfiguriert ist, und leitet schließlich den Code von Lambda weiter Anfrage an den Ursprung (falls erforderlich). Um mehr über den Lebenszyklus einer HTTP-Anfrage innerhalb der Ebenen von CloudFront zu erfahren, schauen Sie sich den folgenden Vortrag von re:Invent an. Beachten Sie, dass die CloudFront-Funktionen zum Zeitpunkt der Aufzeichnung diese Vortrags noch nicht veröffentlicht war.

AWS WAF zum Schutz von Webanwendungen auf Ebene 7

AWS WAF ist eine Web Application Firewall, mit der Webanwendungen vor Bedrohungen auf Anwendungsebene geschützt werden können. Zu den Bedrohungen auf Anwendungsebene gehören:

  • DDoS-Angriffe (z. B. HTTP-Floods), die darauf abzielen, Ihre Anwendungsressourcen zu verbrauchen, um sie legitimen Benutzern unzugänglich zu machen. 
  • Angriffe, die versuchen, Sicherheitslücken auf Anwendungsebene auszunutzen und dann böswillige Aktivitäten ausführen, wie z. B. den Diebstahl von Daten oder die unbefugte Nutzung Ihrer Ressourcen wie etwa zum Bitcoin-Mining. 
  • Angriffe automatisierter Bots, die Ihrem Unternehmen auf unterschiedliche Weise schaden können, z. B. durch Kontoübernahme und Content-Scraping. 

Um AWS WAF zu verwenden, erstellen Sie Regeln in einer WebACL und hängen Sie sie dann an Ressourcen an, die geschützt werden müssen. Globale WebACL können an CloudFront-Distributionen angehängt werden, und regionale WebACLs können an Ressourcen innerhalb derselben Region wie ALBs und API-Gateways angehängt werden. Wenn eine WAF-WebACL an eine Ressource angehängt wird, übergibt der zugrunde liegende Service der Ressource (z. B. CloudFront oder ALB) eine Kopie der HTTP-Anfrage an den AWS WAF-Service, um die konfigurierten Regeln innerhalb eines einstelligen Millisekundenzeitraums auszuwerten. Basierend auf der Regelauswertung weist der AWS WAF-Service den zugrunde liegenden Service an, wie die Anfrage verarbeitet werden soll (z. B. blockieren, weiterleiten, eine Aufgabe stellen usw.). Beachten Sie, dass die AWS WAF-Logik ausschließlich auf HTTP-Anforderungsattributen (und nicht Antwortattributen) basiert.

Eine neu erstellte WAF-WebACL enthält nur eine Standardregel, die alle Anfragen zulässt, zu der Sie mehrere Regeln unterschiedlichen Typs hinzufügen können. Zunächst können Sie benutzerdefinierte Regeln erstellen, die auf den Attributen (z. B. IP, Header, Cookies, URL usw.) der geprüften HTTP-Anfrage basieren. Regeln können auch in Regelgruppen gruppiert werden, um ihre Verwaltung zu erleichtern. Zweitens können Sie verwaltete Regeln von AWS oder von Anbietern auf dem AWS Marketplace hinzufügen, die als konfigurierbare Regelgruppen zu Ihrer WebACL hinzugefügt werden. Sie können beispielsweise verwaltete AWS-Gruppen wie Core Rule Set oder eine Liste anonymer IP-Adressen hinzufügen. Erweiterte verwaltete Regeln wie Bot Control und Account Takeover Prevention erfordern eine clientseitige SDK-Integration. Regeln können beim Abgleich mit den folgenden Aktionen konfiguriert werden: Zulassen und Zählen (mit der Möglichkeit, Header in den Upstream zu senden), Blockieren (mit der Möglichkeit, mit einer benutzerdefinierten Antwort zu antworten), Ratenlimit und schließlich Aufgaben mit CAPTCHA oder stillen Aufgaben. Regeln wie etwa AWS Managed Rules geben Labels aus, die in der Logik nachfolgender Regeln verwendet werden könnten, wenn sie von der WAF-Auswertung erreicht werden. Sie können Ihre eigenen Regeln für die Ausgabe von Labels konfigurieren, die in WAF-Protokolldatensätzen verfügbar sind.

AWS Global Accelerator, eine Beschleunigung auf Netzwerkebene

AWS Global Accelerator ist ein Netzwerkservice, der die Leistung, Zuverlässigkeit und Sicherheit Ihrer Online-Anwendungen mithilfe von AWS Global Infrastructure verbessert. Da AWS Global Accelerator auf Ebene 4 des OSI-Modells arbeitet, kann es mit jeder TCP/UDP-Anwendung verwendet werden. Zu den beispielhaften Anwendungsfällen gehören: UDP/TCP-basiertes Multiplayer-Gaming, Voice- und Video-over-IP, IoT, Videoaufnahme und FTP-Uploads sowie andere Anwendungsfälle wie VPN, Git und AdTech-Gebote. 

AWS Global Accelerator kann vor Ihren Network Load Balancern, Application Load Balancern, AWS EC2-Instances und Elastic IPs bereitgestellt werden, die alle als regionale Endpunkte für Ihre Anwendung dienen können. Um diesen Dienst zu verwenden, erstellen Sie einen Accelerator, der zwei globale statische Anycast-IPv4-Adressen bereitstellt, die als fester Einstiegspunkt für Ihre Anwendung dienen. Mit Global Accelerator sind mehrere Anwendungsendpunkte in einer oder mehreren AWS-Regionen möglich, auf die jedoch alle über dieselbe Anycast-IP-Adresse zugegriffen werden kann. Anschließend konfigurieren Sie Ihren autoritativen DNS-Server so, dass der Domainname Ihrer Webanwendung auf die dedizierten statischen IPs des Accelerators verweist. Diese Anycast-IPs werden in allen Global Accelerator-PoPs angekündigt, um den User-Traffic an den nächstgelegenen PoP weiterzuleiten und ihn dann über das globale AWS-Netzwerk an den regionalen Endpunkt weiterzuleiten.

Schulungsressourcen für Entwickler

Inhaltstyp
Showing results: 1-9
Total results: 17
  • Priorität
  • Back to Basics: Accelerate and protect your websites using Amazon CloudFront and AWS WAF

    Internet users increasingly expect responsive web applications and APIs with lower latency and higher availability. Additionally, publicly accessible web applications and APIs are exposed to threats such as commonly occurring vulnerabilities described in the OWASP Top 10, SQL injection, automated requests, and HTTP floods (Denial of Service (DoS)) that can affect availability, compromise security, or consume excessive resources. Developers looking to keep their web application performant, resilient, and secure, introduce Amazon CloudFront‘s global edge network with AWS WAF to their hosting infrastructure. Both services protect web applications from being exposed to potential attacks and being vulnerable to unpredictable traffic spikes that impact performance and availability. In this post, you learn the basic concepts of configuring CloudFront and AWS WAF to add them to your web application technology stack.
    Blog
    2023-09-12
  • How to boost the performance and security of your dynamic websites with AWS edge services in a few steps

    Customers use AWS edge services to improve the performance and the security of their websites. In certain cases, they appreciate being able to quickly set up a Content Delivery Network (CDN) and a Web Application Firewall (WAF) to stop a DDoS attack targeting their website, or to decrease page load times. And they prefer doing this without investing time beforehand to read the service documentation and configure everything from scratch. If this resonates with you, then you should benefit from reading this post. In this post, you deploy just a few clicks, using an AWS CloudFormation template, an Amazon CloudFront distribution as a reverse proxy to your origin servers, protected by an AWS WAF WebACL. CloudFormation is a service that takes care of provisioning and configuring resources described in a YAML configuration template. CloudFront helps you accelerate your website thanks to caching when it applies, advanced internet protocols (e.g., HTTP3, TL1.3), and the AWS Global network. CloudFront natively protects your application against infrastructure DDoS attacks, and it integrates with AWS WAF to allow you to write rules for managing threats at application layer.
    Blog
    2023-09-27
  • CloudFront Hosting Toolkit

    Now with CloudFront Hosting Toolkit, you can quickly deploy well-architected front-ends on AWS while retaining full control of the underlying cloud infrastructure. CloudFront Hosting Toolkit automatically creates the required infrastructure resources in your AWS account and configures Git-based deployments to deploy applications within minutes—without the need for you to have prior AWS experience. You can take full control over the underlying AWS resources to tailor your application to your exact needs by modifying elements of the existing infrastructure rather than starting from scratch.
    Blog
    2024-06-04
  • Getting started with AWS WAF- Service Overview

    AWS WAF is a web application firewall that helps protect your applications or APIs against common web exploits and bots that may affect availability, compromise security, or consume excessive resources. You can control how traffic reaches your applications based on security rules to manage bot traffic and block common attack patterns. You can deploy AWS WAF on Amazon CloudFront as part of your CDN solution, the Application Load Balancer that fronts your web servers or origin servers running on EC2, Amazon API Gateway for your REST APIs, or AWS AppSync for your GraphQL APIs. With AWS WAF, you pay only for what you use and the pricing is based on how many rules you deploy and how many web requests your application receives.
    Short Video
    2022-09-29
  • Getting started with AWS Shield Advanced

    Learn how to get started with AWS Shield, a managed Distributed Denial of Service (DDoS) protection service that safeguards applications running on AWS. Shield provides dynamic detections and automatic inline mitigations that minimize application downtime and latency. Learn more about AWS Shield - https://go.aws/3kGpNgN In this video, you’ll learn how to enable AWS Shield Advanced to get additional tailored detection and mitigation against large and sophisticated DDoS attacks, near real-time visibility into attacks, and AWS Firewall Manager and AWS WAF at no additional cost for usage on resources protected by AWS Shield Advanced as described on the Shield pricing page. Shield Advanced provides a higher level of protection against attacks targeting your applications running on Amazon EC2 with associated Elastic IP addresses, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, and Amazon Route 53 resources. Shield Advanced also gives you 24x7 access to the AWS Shield Response Team (SRT) and cost protection against DDoS related spikes in your Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, and Amazon Route 53 charges.
    Short Video
    2021-11-15
  • Getting started with AWS WAF- Common Configuration Patterns

    AWS WAF is a web application firewall that helps protect your applications or APIs against common web exploits and bots that may affect availability, compromise security, or consume excessive resources. You can control how traffic reaches your applications based on security rules to manage bot traffic and block common attack patterns. You can deploy AWS WAF on Amazon CloudFront as part of your CDN solution, the Application Load Balancer that fronts your web servers or origin servers running on EC2, Amazon API Gateway for your REST APIs, or AWS AppSync for your GraphQL APIs. With AWS WAF, you pay only for what you use and the pricing is based on how many rules you deploy and how many web requests your application receives.
    Short Video
    2023-02-03
  • CloudFront Foundation I

    In this workshop you will learn how to set up CloudFront, and optimize the performance of your application.
    Workshop
    2023-07-13
  • CloudFront Foundation II

    In this workshop you will learn how to improve improve the security and resilience of your application.
    Workshop
    2023-07-13
  • AWS Shield Advanced

    This workshop is part of an Immersion day about "AWS Shield Advanced" please refer to your AWS contacts to know more about this Immersion Day. AWS Shield is a managed Distributed Denial of Service (DDoS) protection service that safeguards applications running on AWS. AWS Shield provides always-on detection and automatic inline mitigations that minimize application downtime and latency. Since the DDoS protection is automatic, you can expect minimum engagement with AWS Support. There are two tiers of AWS Shield - Standard and Advanced. All AWS customers benefit from the automatic protections of AWS Shield Standard, at no additional charge. AWS Shield Standard defends against most common, frequently occurring network and transport layer DDoS attacks that target your web site or applications. When you use AWS Shield Standard with Amazon CloudFront and Amazon Route 53, you receive comprehensive availability protection against all known infrastructure (Layer 3 and 4) attacks. For higher levels of protection against attacks targeting your applications running on Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator and Amazon Route 53 resources, you can subscribe to AWS Shield Advanced. In addition to the network and transport layer protections that come with Standard, AWS Shield Advanced provides additional detection and mitigation against large and sophisticated DDoS attacks, near real-time visibility into attacks, and integration with AWS WAF, a web application firewall. AWS Shield Advanced also gives you 24x7 access to the AWS Shield Response Team (SRT) and protection against DDoS related spikes in your Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator and Amazon Route 53 charges.
    Workshop
    2023-12-01
1 2

War diese Seite hilfreich?