AWS WAF – Häufig gestellte Fragen

Was ist AWS WAF?

AWS WAF ist eine Firewall für Webanwendungen, die Webanwendungen gegen Angriffe schützt, indem sie Ihnen ermöglicht, über durch Sie definierte Bedingungen Regeln für das Zulassen, Blockieren oder Überwachen (Zählen) von Webanforderungen zu konfigurieren. Zu diesen Bedingungen gehören IP-Adressen, HTTP-Header, HTTP-Hauptteil, URI-Zeichenfolgen, SQL-Injektion und standortübergreifende Skripterstellung.

Wie blockiert oder erlaubt AWS WAF Datenverkehr?

Wenn der zugrundeliegende Service Anforderungen für Ihre Websites erhält, leitet er diese an AWS WAF weiter, wo sie anhand Ihrer Regeln geprüft werden. Erfüllt eine Anforderung eine in Ihren Regeln definierte Bedingung, weist AWS WAF den zugrundeliegenden Service an, diese entweder zu blockieren oder zuzulassen, je nachdem, welche Aktion Sie definieren.

Wie schützt AWS WAF meine Website oder -anwendung?

AWS WAF ist eng mit Amazon CloudFront, dem Application Load Balancer (ALB), dem Amazon API Gateway und AWS AppSync integriert. Services, die AWS-Kunden häufig zur Bereitstellung von Inhalten für ihre Websites und Anwendungen nutzen. Wenn Sie AWS WAF unter Amazon CloudFront verwenden, werden Ihre Regeln an allen AWS Edge-Standorten weltweit ausgeführt, die sich in der Nähe Ihrer Endbenutzer befinden. Das bedeutet, dass Sicherheit nicht auf Kosten der Leistung geht. Blockierte Anforderungen werden abgefangen, bevor sie Ihre Webserver erreichen. Wenn Sie AWS WAF auf regionalen Services, wie z. B. Application Load Balancer, Amazon API Gateway und AWS AppSync, verwenden, laufen Ihre Regeln in der Region und können zum Schutz von Internet-Ressourcen und internen Ressourcen verwendet werden.

Kann ich AWS WAF für den Schutz nicht in AWS gehosteter Websites verwenden?

Ja. AWS WAF ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt auch benutzerdefinierte Ursprünge außerhalb von AWS.

Welche Art von Angriffen wird von AWS WAF gestoppt?

AWS WAF schützt Ihre Website gegen verbreitete Angriffstechniken wie SQL-Injektion und siteübergreifendes Scripting (XSS). Außerdem können Sie Regeln erstellen, die Traffic bestimmter User-Agents, von spezifischen IP-Adressen oder mit bestimmten Anforderungs-Headern blockieren oder ihre Rate begrenzen. Beispiele finden Sie im AWS WAF-Entwicklerhandbuch.

Welche Bot-Schutzfunktionalitäten sind bei AWS WAF verüfgbar?

AWS WAF Bot Control gibt Ihnen Sichtbarkeit und Kontrolle über häufigen und weit verbreiteten Bot-Traffic zu Ihren Anwendungen. Mit Bot Control können Sie pervasive Bots wie Scraper, Scanner und Crawler einfach überwachen, blockieren oder die Rate begrenzen, und Sie können gängige Bots wie Statusmonitore und Suchmaschinen zulassen. Sie können die verwaltete Regelgruppe „Bot Control“ neben anderen verwalteten Regeln für WAF oder mit Ihren eigenen benutzerdefinierten WAF-Regeln verwenden, um Ihre Anwendungen zu schützen. Weitere Informationen finden Sie im Abschnitt „AWS WAF Bot Control“ im Entwicklerhandbuch. 

Kann ich für die Überwachung von Sicherheit, Betrieb und Compliance einen Verlauf aller AWS WAF-API-Aufrufe abrufen, die für mein Konto erfolgt sind?

Ja. Zum Abrufen eines Verlaufs aller AWS WAF-API-Aufrufe, die für Ihr Konto erfolgt sind, aktivieren Sie AWS CloudTrail in der AWS-Managementkonsole von CloudTrail. Weitere Informationen finden Sie auf der AWS CloudTrail-Startseite oder im AWS WAF Developer Guide.

Wird IPv6 von AWS WAF unterstützt?

Ja, da IPv6 unterstützt wird, kann AWS WAF HTTP/S-Anfragen von IPv6- und IPv4-Adressen prüfen.

Wird IPv6 von der IPSet-Übereinstimmungsbedingung für eine AWS WAF-Regel unterstützt?

Ja, Sie können neue IPv6-Übereinstimmungsbedingungen für neue und vorhandene WebACLs einrichten, siehe Dokumentation.

Kann ich davon ausgehen, dass IPv6-Adressen, falls zutreffend, in den Versuchsanfragen von AWS WAF angezeigt werden?

Ja. Falls zutreffend, wird die IPv6-Adresse in den Versuchsanfragen angezeigt.

Kann ich IPv6 mit allen AWS WAF-Funktionen verwenden?

Ja. Sie werden alle vorhandenen Funktionen für Datenverkehr über IPv6 und IPv4 verwenden können, ohne dabei Veränderungen der Leistung, Skalierbarkeit oder Verfügbarkeit des Service wahrzunehmen.

Welche Services werden von AWS WAF unterstützt?

AWS WAF kann auf Amazon CloudFront, dem Application Load Balancer (ALB), dem Amazon API Gateway und AWS AppSync bereitgestellt werden. Als Teil von Amazon CloudFront kann es Teil Ihres Content Distribution Network (CDN) sein und Ihre Ressourcen und Inhalte an Edge-Standorten schützen. Als Teil des Application Load Balancers kann er Ihre ursprünglichen Webserver, die hinter den ALBs laufen, schützen. Als Teil von Amazon API Gateway kann es Ihre REST APIs sichern und schützen. Als Teil von AWS AppSync kann es dazu beitragen, Ihre GraphQL-APIs zu sichern und zu schützen.

In welchen AWS-Regionen ist AWS WAF verfügbar?

Bitte beachten Sie die Tabelle der AWS-Region-Services.

Ist AWS WAF HIPAA-fähig?

Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS WAF als HIPAA-fähigen Service ausgeweitet. Wenn Sie ein aktives Business Associate Agreement (BAA) mit AWS haben, können Sie AWS WAF zum Schützen Ihrer Webanwendungen vor häufig auftretenden Angriffen aus dem Web schützen. Weitere Informationen finden Sie unter HIPAA Compliance.

Wie werden die Preise für AWS WAF berechnet? Fallen vorab Kosten an?

Die Preise von AWS WAF basieren auf der Anzahl der von Ihnen erstellten Web-Zugriffskontrolllisten (Web-ACLs), der Anzahl der von Ihnen pro Web-ACL hinzugefügten Regeln und der Anzahl der erhaltenen Webanfragen. Es müssen keine Vorauszahlungen geleistet werden. AWS WAF Gebühren verstehen sich zusätzlich zu Amazon CloudFront-Preisen, Application Load Balancer(ALB)-Preisen, Amazon API Gateway-Preisen und/oder AWS AppSync-Preisen.

Was sind ratenbasierte Regeln von AWS WAF?

Ratenbasierte Regeln sind eine Art von Regeln, die in der AWS WAF konfiguriert werden können und es Ihnen ermöglichen, die Anzahl der Webanfragen anzugeben, die von einer Client-IP in einem nachlaufenden, kontinuierlich aktualisierten Zeitraum von 5 Minuten erlaubt sind. Wenn eine IP-Adresse das konfigurierte Limit überschreitet, werden neue Anforderungen blockiert, bis die Anforderungsrate unter den konfigurierten Schwellenwert sinkt.

Worin liegt der Unterschied zwischen einer ratenbasierten Regel und einer regulären AWS WAF-Regel?

Ratenbasierte Regeln ähneln regulären Regeln, ermöglichen zusätzlich aber das Konfigurieren eines ratenbasierten Schwellenwerts. Wenn beispielsweise der Schwellenwert der ratenbasierten Regel auf 2 000 festgelegt ist, blockiert die Regel sämtliche IPs mit mehr als 2 000 Anforderungen in den vergangenen 5 Minuten. Eine tarifbasierte Regel kann auch jede andere AWS WAF-Bedingung enthalten, die für eine reguläre Regel verfügbar ist.

Was kostet eine ratenbasierte Regel?

Eine ratenbasierte Regel kostet genauso viel wie eine reguläre AWS WAF-Regel, nämlich monatlich pro Regel 1 USD/WebACL.

In welchen Fällen wird die ratenbasierte Regel angewendet?

Hier ein paar Anwendungsfälle, die Kunden mit ratenbasierten Regeln bedienen können:

• Ich möchte IP-Adressen auf die Sperrliste setzen oder zählen, wenn diese den konfigurierten Schwellenwert überschreiten (konfigurierbar in Webanforderungen pro nachfolgendem 5-Minuten-Zeitraum).
• Ich möchte wissen, welche IP-Adressen derzeit auf der Sperrliste stehen, weil sie den konfigurierten Schwellenwert überschritten haben.
• Ich möchte, dass in der Sperrliste aufgeführte IP-Adressen automatisch daraus entfernt werden, sobald sie unter den konfigurierten Schwellenwert sinken.
• Ich möchte verhindern, dass bestimmte IP-Bereiche mit hohem Datenverkehrsaufkommen durch meine ratenbasierten Regeln der Sperrliste hinzugefügt werden.
  

Sind die vorhandenen Abgleichsbedingungen mit ratenbasierten Regeln kompatibel?

Ja. Ratenbasierte Regeln sind mit den vorhandenen AWS WAF-Abgleichsbedingungen kompatibel. Sie können Ihre Übereinstimmungskriterien weiter verfeinern und ratenbasierte Migrationen zu bestimmten URLs Ihrer Website oder den Datenverkehr von bestimmten Referenzen (oder Benutzeragenten) einschränken bzw. weitere benutzerdefinierte Übereinstimmungskriterien hinzufügen.

Kann ich mit der ratenbasierten Regel DDoS-Angriffe auf der Webschicht vermeiden?

Ja. Dieser neue Regeltyp dient zum Schutz vor Anwendungsfällen wie DDoS-Angriffen auf der Webschicht, Brute-Force-Anmeldeversuchen und bösartigen Bots.

Welche Sichtbarkeitsfunktionen bieten ratenbasierte Regeln?

Ratenbasierte Regeln unterstützten alle derzeit für die regulären AWS WAF-Regeln verfügbaren Sichtbarkeitsfunktionen. Zudem bieten sie einen transparenten Einblick in die durch eine ratenbasierte Regel blockierten IP-Adressen.

Kann ich mit einer ratenbasierten Regel den Zugriff auf bestimmte Bereiche meiner Webseite begrenzen?

Ja. Hier ist ein Beispiel. Angenommen, Sie möchten Anforderungen an die Anmeldeseite Ihrer Website begrenzen. In diesem Fall fügen Sie einer ratenbasierten Regel die folgende Abgleichsbedingung für Zeichenfolgen hinzu:

• Der zu filternde Teil der Anforderung ist "URI".
  
• Der Abgleichstyp ist "Beginnt mit".
  
• Der zu suchende Wert ist "/login" (bzw. die Zeichenfolge, die im URI-Abschnitt der Webanforderung die Anmeldeseite identifiziert).
  

Zudem geben Sie ein Ratenlimit von beispielsweise 15 000 Anforderungen pro 5 Minuten an. Indem Sie die ratenbasierte Regel einer Web-ACL hinzufügen, werden die Anforderungen an Ihre Anmeldeseite pro IP-Adresse begrenzt, während Ihre restliche Website davon unberührt bleibt

Kann ich bestimmte IP-Bereiche mit hohem Datenverkehrsaufkommen davon ausschließen, dass sie durch meine ratenbasierten Regeln der Sperrliste hinzugefügt werden?

Ja. Sie können dies tun, indem Sie eine separate IP-Übereinstimmungsbedingung haben, die die Anfrage innerhalb der Raten-Basis-Regel erlaubt.

Wie genau ist Ihre GeoIP-Datenbank?

Die Genauigkeit zwischen IP-Adresse und Länderlisten-Datenbank ist regionsabhängig unterschiedlich. Gemäß letzten Tests beträgt unsere Gesamtgenauigkeit für die Zuordnung von IP-Adresse zum Land 99,8 %. 

Was sind verwaltete Regeln für AWS WAF?

Verwaltete Regeln stellen eine einfache Möglichkeit dar, vorkonfigurierte Regeln bereitzustellen, um Anwendungen vor gängigen Bedrohungen wie OWASP, Bots oder sogenannten "Common Vulnerabilities and Exposures" (CVE) zu schützen. Die von AWS verwalteten Regeln für die AWS WAF werden von AWS verwaltet, während die verwalteten Regeln vom AWS Marketplace von Drittanbietern von Wertpapieren verwaltet werden.

Wie kann ich die Managed Rules über den AWS Marketplace abonnieren?

Sie abonnieren verwaltete Regeln, die von einem Sicherheitsverkäufer auf dem Marketplace zur Verfügung gestellt werden, entweder aus der AWS WAF-Konsole oder aus dem AWS Marketplace. Alle abonnierten verwalteten Regeln können Sie einer AWS WAF-Web-ACL hinzufügen.

Kann ich verwaltete Regeln zusammen mit vorhandenen AWS WAF-Regeln verwenden?

Ja, Sie können verwaltete Regeln zusammen mit benutzerdefinierten AWS WAF-Regeln verwenden. Sie können verwaltete Regeln einer vorhandenen AWS WAF-Web-ACL hinzufügen, der Sie möglicherweise bereits eigene Regeln hinzugefügt haben.

Werden verwaltete Regeln beim Grenzwert für die Anzahl der AWS WAF-Regeln berücksichtigt?

Die Anzahl der Regeln innerhalb einer verwalteten Rule wird nicht auf Ihr Limit angerechnet. Jede der Web-ACL hinzugefügte verwaltete Regel zählt jedoch als eine Regel.

Wie deaktiviere ich verwaltete Regeln?

Sie können verwaltete Regeln jederzeit einer Web-ACL hinzufügen oder aus ihr entfernen. Verwaltete Regeln werden deaktiviert, wenn Sie sie aus Web-ACLs entfernen.

Wie überprüfe ich verwaltete Regeln?

AWS WAF ermöglicht Ihnen die Konfiguration einer "count"-Aktion für verwaltete Regeln. Dabei wird die Anzahl der Webanforderungen erfasst, die von den Regeln in der verwalteten Regel zugeordnet werden. Sie können anhand der gezählten Webanforderungen abschätzen, wie viele Ihrer Webanforderungen blockiert werden, wenn Sie die verwaltete Regel aktivieren.

Kann ich benutzerdefinierte Fehlerseiten konfigurieren?

Ja. Sie können CloudFront so konfigurieren, dass beim Blockieren von Anforderungen eine benutzerdefinierte Fehlerseite angezeigt wird. Weitere Informationen finden Sie im CloudFront-Entwicklerhandbuch.

Wie lange braucht es, bis AWS WAF meine Regeln übernimmt?

Nach dem ersten Einrichten, Hinzufügen oder Ändern von Regeln sind diese normalerweise nach etwa einer Minute weltweit übernommen.

Wie kann ich feststellen, ob meine Regeln funktionieren?

Mit AWS WAF gibt es zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall und in der AWS WAF-API und der Management-Konsole sind Stichproben von Webanforderungen verfügbar. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese Webanforderung aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im AWS WAF-Entwicklerhandbuch.

Wie kann ich meine Regeln testen?

Mit AWS WAF können Sie eine "count"-Aktion für Regeln konfigurieren, die die Anzahl der Webanforderungen zählt, die die Bedingungen Ihrer Regel erfüllen. Sie können anhand der gezählten Webanforderungen abschätzen, wie viele Ihrer Webanforderungen bei aktivierter Regel blockiert oder zugelassen werden.

Wie lange werden Echtzeit-Metriken und Webanforderungen-Stichproben gespeichert?

Echtzeit-Metriken werden in Amazon CloudWatch gespeichert. Mit Amazon CloudWatch können Sie einstellen, nach welcher Zeitspanne Ereignisse ablaufen. Webanforderungen-Stichproben werden bis zu 3 Stunden gespeichert.

Kann AWS WAF HTTPS-Datenverkehr prüfen?

Ja. AWS WAF unterstützt den Schutz von Anwendungen und kann sowohl über HTTP als auch über HTTPS übertragene Webanforderungen prüfen.

Was ist Account Takeover Prevention?

Account Takeover Prevention (ATP) ist eine verwaltete Regelgruppe, die den Datenverkehr auf der Anmeldeseite Ihrer Anwendung überwacht, um unbefugten Zugriff auf Benutzerkonten mit kompromittierten Anmeldedaten zu erkennen. Sie können ATP verwenden, um Angriffe zum Ausfüllen von Anmeldedaten, Brute-Force-Anmeldeversuche und andere anomale Anmeldeaktivitäten zu verhindern. Während der Anmeldeversuche bei Ihrer Anwendung prüft ATP in Echtzeit, ob die übermittelten Benutzernamen und Passwörter an anderer Stelle im Internet kompromittiert wurden. ATP prüft auf anomale Anmeldeversuche, die von bösartigen Akteuren stammen, und korreliert Anfragen, die im Laufe der Zeit beobachtet wurden, um Ihnen dabei zu helfen, Brute-Force-Versuche und Angriffe zum Ausfüllen von Anmeldedaten zu erkennen und zu entschärfen. ATP bietet auch optionale JavaScript- und iOS/Android-SDKs an, die in Ihre Anwendung integriert werden können, um Ihnen zusätzliche Telemetriedaten über Benutzergeräte zu liefern, die versuchen, sich bei Ihrer Anwendung anzumelden, um Ihre Anwendung besser vor automatisierten Anmeldeversuchen durch Bots zu schützen.

Wie schützt Account Takeover Prevention die überprüften Zugangsdaten?

Der Datenverkehr zwischen Benutzergeräten und Ihrer Anwendung wird durch das SSL/TLS-Protokoll gesichert, das Sie für den AWS-Service konfigurieren, den Sie für Ihre Anwendung verwenden, wie Amazon CloudFront, Application Load Balancer, Amazon API Gateway oder AWS AppSync. Sobald eine Benutzeranmeldung AWS WAF erreicht, prüft AWS WAF die Anmeldung, hasht sie und verwirft sie dann sofort, wobei die Anmeldeinformationen das AWS-Netzwerk nie verlassen. Jede Kommunikation zwischen den AWS-Services, die Sie in Ihrer Anwendung verwenden, und AWS WAF wird während der Übertragung und im Ruhezustand verschlüsselt.

Wie verhält sich Account Takeover Prevention im Vergleich zur Bot Control?

Bot Control verschafft Ihnen Transparenz und Kontrolle über den weit verbreiteten Bot-Datenverkehr, der Ressourcen verbrauchen, Metriken verfälschen, Ausfallzeiten verursachen und andere unerwünschte Aktivitäten durchführen kann. Bot Control überprüft verschiedene Header-Felder und Anfrageeigenschaften auf bekannte Bot-Signaturen, um automatisierte Bots wie Scraper, Scanner und Crawler zu erkennen und zu kategorisieren.

Account Takeover Prevention (ATP) verschafft Ihnen Einblick und Kontrolle über anomale Anmeldeversuche von böswilligen Akteuren, die kompromittierte Anmeldedaten verwenden, und hilft Ihnen so, unbefugte Zugriffe zu verhindern, die zu betrügerischen Aktivitäten führen könnten. ATP wird verwendet, um die Anmeldeseite Ihrer Anwendung zu schützen.

Bot Control und ATP können unabhängig voneinander oder zusammen verwendet werden. Wie bei den von Bot Control verwalteten Regelgruppen können Sie die Standard-Regelaktion von ATP verwenden, um entsprechende Anfragen zu blockieren, oder Sie können das Verhalten von ATP mithilfe der AWS-WAF-Risikominderungsfunktionen anpassen.

Wie starte ich mit Account Takeover Prevention und AWS WAF?

Erstellen Sie in der AWS-WAF-Konsole eine neue Web-ACL, oder ändern Sie eine bestehende Web-ACL, wenn Sie AWS WAF bereits verwenden. Der Assistent hilft Ihnen bei der Konfiguration der Grundeinstellungen, z. B. welche Ressource Sie schützen möchten und welche Regeln Sie hinzufügen möchten. Wenn Sie aufgefordert werden, Regeln hinzuzufügen, wählen Sie „Verwaltete Regeln hinzufügen“ und dann aus der Liste der verwalteten Regeln die Option „Betrugsprävention bei der Kontoeröffnung“. Um ATP zu konfigurieren, geben Sie die URL der Anmeldeseite Ihrer Anwendung ein und geben an, wo sich die Formularfelder für den Benutzernamen und das Passwort im Textteil der Anfrage befinden.

Welchen Vorteil bietet das JavaScript SDK oder Mobile SDK?

JavaScript und Mobile SDKs liefern zusätzliche Telemetriedaten über Benutzergeräte, die versuchen, sich bei Ihrer Anwendung anzumelden, um Ihre Anwendung besser vor automatischen Anmeldeversuchen durch Bots zu schützen. Sie müssen nicht unbedingt eines der SDKs verwenden, aber wir empfehlen Ihnen, dies für zusätzlichen Schutz zu tun.

Wie kann ich das Standardverhalten von Account Takeover Prevention anpassen?

Wenn ATP feststellt, dass die Zugangsdaten eines Benutzers kompromittiert wurden, generiert es eine Markierung, um eine Übereinstimmung anzuzeigen. Standardmäßig blockiert die AWS WAF automatisch Anmeldeversuche, die als böswillig oder anomal eingestuft werden (z. B. ungewöhnlich viele fehlgeschlagene Anmeldeversuche, Wiederholungstäter und Anmeldeversuche von Bots). Sie können ändern, wie AWS WAF auf Übereinstimmungen reagiert, indem Sie AWS-WAF-Regeln schreiben, die auf das Label reagieren.