AWS WAF – Häufig gestellte Fragen

Allgemeines

AWS WAF ist eine Firewall für Webanwendungen, die Webanwendungen gegen Angriffe schützt, indem sie Ihnen ermöglicht, über durch Sie definierte Bedingungen Regeln für das Zulassen, Blockieren oder Überwachen (Zählen) von Webanforderungen zu konfigurieren. Zu diesen Bedingungen gehören IP-Adressen, HTTP-Header, HTTP-Hauptteil, URI-Zeichenfolgen, SQL-Injektion und standortübergreifende Skripterstellung.

Wenn der zugrundeliegende Service Anforderungen für Ihre Websites erhält, leitet er diese an AWS WAF weiter, wo sie anhand Ihrer Regeln geprüft werden. Erfüllt eine Anforderung eine in Ihren Regeln definierte Bedingung, weist AWS WAF den zugrundeliegenden Service an, diese entweder zu blockieren oder zuzulassen, je nachdem, welche Aktion Sie definieren.

AWS WAF ist eng mit Amazon CloudFront, dem Application Load Balancer (ALB), dem Amazon API Gateway und AWS AppSync integriert. Services, die AWS-Kunden häufig zur Bereitstellung von Inhalten für ihre Websites und Anwendungen nutzen. Wenn Sie AWS WAF unter Amazon CloudFront verwenden, werden Ihre Regeln an allen AWS Edge-Standorten weltweit ausgeführt, die sich in der Nähe Ihrer Endbenutzer befinden. Das bedeutet, dass Sicherheit nicht auf Kosten der Leistung geht. Blockierte Anforderungen werden abgefangen, bevor sie Ihre Webserver erreichen. Wenn Sie AWS WAF auf regionalen Services, wie z. B. Application Load Balancer, Amazon API Gateway und AWS AppSync, verwenden, laufen Ihre Regeln in der Region und können zum Schutz von Internet-Ressourcen und internen Ressourcen verwendet werden.

Ja. AWS WAF ist in Amazon CloudFront integriert, und Amazon CloudFront unterstützt auch benutzerdefinierte Ursprünge außerhalb von AWS.

AWS WAF schützt Ihre Website gegen verbreitete Angriffstechniken wie SQL-Injektion und siteübergreifendes Scripting (XSS). Außerdem können Sie Regeln erstellen, die Traffic bestimmter User-Agents, von spezifischen IP-Adressen oder mit bestimmten Anforderungs-Headern blockieren oder ihre Rate begrenzen. Beispiele finden Sie im Entwicklerhandbuch zu AWS WAF.

AWS WAF Bot Control gibt Ihnen Sichtbarkeit und Kontrolle über häufigen und weit verbreiteten Bot-Traffic zu Ihren Anwendungen. Mit Bot Control können Sie pervasive Bots wie Scraper, Scanner und Crawler einfach überwachen, blockieren oder die Rate begrenzen, und Sie können gängige Bots wie Statusmonitore und Suchmaschinen zulassen. Sie können die verwaltete Regelgruppe „Bot Control“ neben anderen verwalteten Regeln für WAF oder mit Ihren eigenen benutzerdefinierten WAF-Regeln verwenden, um Ihre Anwendungen zu schützen. Weitere Informationen finden Sie im Abschnitt „AWS WAF Bot Control“ im Entwicklerhandbuch.

Ja. Zum Abrufen eines Verlaufs aller API-Aufrufe von AWS WAF, die für Ihr Konto erfolgt sind, aktivieren Sie einfach AWS CloudTrail in der AWS-Managementkonsole von CloudTrail. Weitere Informationen finden Sie auf der AWS CloudTrail-Startseite oder im AWS WAF Developer Guide.

Ja, da IPv6 unterstützt wird, kann AWS WAF HTTP/S-Anfragen von IPv6- und IPv4-Adressen prüfen.

Ja, Sie können neue IPv6-Übereinstimmungsbedingungen für neue und vorhandene WebACLs einrichten, siehe Dokumentation.

Ja. Falls zutreffend, wird die IPv6-Adresse in den Versuchsanfragen angezeigt.

Ja. Sie werden alle vorhandenen Funktionen für Datenverkehr über IPv6 und IPv4 verwenden können, ohne dabei Veränderungen der Leistung, Skalierbarkeit oder Verfügbarkeit des Service wahrzunehmen.

AWS WAF kann auf Amazon CloudFront, dem Application Load Balancer (ALB), dem Amazon API Gateway und AWS AppSync bereitgestellt werden. Als Teil von Amazon CloudFront kann es Teil Ihres Content Distribution Network (CDN) sein und Ihre Ressourcen und Inhalte an Edge-Standorten schützen. Als Teil des Application Load Balancers kann er Ihre ursprünglichen Webserver, die hinter den ALBs laufen, schützen. Als Teil von Amazon API Gateway kann es Ihre REST APIs sichern und schützen. Als Teil von AWS AppSync kann es dazu beitragen, Ihre GraphQL-APIs zu sichern und zu schützen.

Entsprechende Informationen finden Sie in der Tabelle der Services in den AWS-Regionen.

Ja, AWS hat sein HIPAA-Compliance-Programm auf AWS WAF als HIPAA-fähigen Service ausgeweitet. Wenn Sie ein aktives Business Associate Agreement (BAA) mit AWS haben, können Sie AWS WAF zum Schützen Ihrer Webanwendungen vor häufig auftretenden Angriffen aus dem Web schützen. Weitere Informationen finden Sie unter HIPAA-Compliance.

Die Preise von AWS WAF basieren auf der Anzahl der von Ihnen erstellten Web-Zugriffskontrolllisten (Web-ACLs), der Anzahl der von Ihnen pro Web-ACL hinzugefügten Regeln und der Anzahl der erhaltenen Webanfragen. Es müssen keine Vorauszahlungen geleistet werden. Die Gebühren für AWS WAF verstehen sich zusätzlich zu Preisen für Amazon-CloudFront, Application Load Balancer (ALB), Amazon API Gateway und/oder AWS AppSync.

Ratenbasierte Regeln sind eine Art von Regeln, die in der AWS WAF konfiguriert werden können und es Ihnen ermöglichen, die Anzahl der Webanfragen anzugeben, die von einer Client-IP in einem nachlaufenden, kontinuierlich aktualisierten Zeitraum von 5 Minuten erlaubt sind. Wenn eine IP-Adresse das konfigurierte Limit überschreitet, werden neue Anforderungen blockiert, bis die Anforderungsrate unter den konfigurierten Schwellenwert sinkt.

Ratenbasierte Regeln ähneln regulären Regeln, ermöglichen zusätzlich aber das Konfigurieren eines ratenbasierten Schwellenwerts. Wenn beispielsweise der Schwellenwert der ratenbasierten Regel auf 2 000 festgelegt ist, blockiert die Regel sämtliche IPs mit mehr als 2 000 Anforderungen in den vergangenen 5 Minuten. Eine tarifbasierte Regel kann auch jede andere AWS WAF-Bedingung enthalten, die für eine reguläre Regel verfügbar ist.

Eine ratenbasierte Regel kostet genauso viel wie eine reguläre AWS WAF-Regel, nämlich monatlich pro Regel 1 USD/WebACL.

Hier ein paar Anwendungsfälle, die Kunden mit ratenbasierten Regeln bedienen können:

  • Ich möchte IP-Adressen auf die Sperrliste setzen oder zählen, wenn diese den konfigurierten Schwellenwert überschreiten (konfigurierbar in Webanforderungen pro nachfolgendem 5-Minuten-Zeitraum).
  • Ich möchte wissen, welche IP-Adressen derzeit auf der Sperrliste stehen, weil sie den konfigurierten Schwellenwert überschritten haben.
  • Ich möchte, dass in der Sperrliste aufgeführte IP-Adressen automatisch daraus entfernt werden, sobald sie unter den konfigurierten Schwellenwert sinken.
  • Ich möchte verhindern, dass bestimmte IP-Bereiche mit hohem Datenverkehrsaufkommen durch meine ratenbasierten Regeln der Sperrliste hinzugefügt werden.

Ja. Ratenbasierte Regeln sind mit den vorhandenen AWS WAF-Abgleichsbedingungen kompatibel. Sie können Ihre Übereinstimmungskriterien weiter verfeinern und ratenbasierte Migrationen zu bestimmten URLs Ihrer Website oder den Datenverkehr von bestimmten Referenzen (oder Benutzeragenten) einschränken bzw. weitere benutzerdefinierte Übereinstimmungskriterien hinzufügen.

Ja. Dieser neue Regeltyp dient zum Schutz vor Anwendungsfällen wie DDoS-Angriffen auf der Webschicht, Brute-Force-Anmeldeversuchen und bösartigen Bots.

Ratenbasierte Regeln unterstützten alle derzeit für die regulären AWS WAF-Regeln verfügbaren Sichtbarkeitsfunktionen. Zudem bieten sie einen transparenten Einblick in die durch eine ratenbasierte Regel blockierten IP-Adressen.

Ja. Hier ist ein Beispiel. Angenommen, Sie möchten Anforderungen an die Anmeldeseite Ihrer Website begrenzen. In diesem Fall fügen Sie einer ratenbasierten Regel die folgende Abgleichsbedingung für Zeichenfolgen hinzu:

  • Der zu filternde Teil der Anforderung ist "URI".
  • Der Abgleichstyp ist "Beginnt mit".
  • Der zu suchende Wert ist "/login" (bzw. die Zeichenfolge, die im URI-Abschnitt der Webanforderung die Anmeldeseite identifiziert).

Zudem geben Sie ein Ratenlimit von beispielsweise 15 000 Anforderungen pro 5 Minuten an. Indem Sie die ratenbasierte Regel einer Web-ACL hinzufügen, werden die Anforderungen an Ihre Anmeldeseite pro IP-Adresse begrenzt, während Ihre restliche Website davon unberührt bleibt

Ja. Sie können dies tun, indem Sie eine separate IP-Übereinstimmungsbedingung haben, die die Anfrage innerhalb der Raten-Basis-Regel erlaubt.

Die Genauigkeit zwischen IP-Adresse und Länderlisten-Datenbank ist regionsabhängig unterschiedlich. Gemäß letzten Tests beträgt unsere Gesamtgenauigkeit für die Zuordnung von IP-Adresse zum Land 99,8 %.

Verwaltete Regeln für AWS WAF

Verwaltete Regeln stellen eine einfache Möglichkeit dar, vorkonfigurierte Regeln bereitzustellen, um Anwendungen vor gängigen Bedrohungen wie OWASP, Bots oder sogenannten "Common Vulnerabilities and Exposures" (CVE) zu schützen. Die von AWS verwalteten Regeln für die AWS WAF werden von AWS verwaltet, während die verwalteten Regeln vom AWS Marketplace von Drittanbietern von Wertpapieren verwaltet werden.

Sie abonnieren verwaltete Regeln, die von einem Sicherheitsverkäufer auf dem Marketplace zur Verfügung gestellt werden, entweder aus der AWS WAF-Konsole oder aus dem AWS Marketplace. Alle abonnierten verwalteten Regeln können Sie einer AWS WAF-Web-ACL hinzufügen.

Ja, Sie können verwaltete Regeln zusammen mit benutzerdefinierten AWS WAF-Regeln verwenden. Sie können verwaltete Regeln einer vorhandenen AWS WAF-Web-ACL hinzufügen, der Sie möglicherweise bereits eigene Regeln hinzugefügt haben.

Die Anzahl der Regeln innerhalb einer verwalteten Rule wird nicht auf Ihr Limit angerechnet. Jede der Web-ACL hinzugefügte verwaltete Regel zählt jedoch als eine Regel.

Sie können verwaltete Regeln jederzeit einer Web-ACL hinzufügen oder aus ihr entfernen. Verwaltete Regeln werden deaktiviert, wenn Sie sie aus Web-ACLs entfernen.

AWS WAF ermöglicht Ihnen die Konfiguration einer "count"-Aktion für verwaltete Regeln. Dabei wird die Anzahl der Webanforderungen erfasst, die von den Regeln in der verwalteten Regel zugeordnet werden. Sie können anhand der gezählten Webanforderungen abschätzen, wie viele Ihrer Webanforderungen blockiert werden, wenn Sie die verwaltete Regel aktivieren.

AWS-WAF-Konfiguration

Ja. Sie können CloudFront so konfigurieren, dass beim Blockieren von Anforderungen eine benutzerdefinierte Fehlerseite angezeigt wird. Weitere Informationen finden Sie im Entwicklerhandbuch zu CloudFront.

Nach dem ersten Einrichten, Hinzufügen oder Ändern von Regeln sind diese normalerweise nach etwa einer Minute weltweit übernommen.

Mit AWS WAF gibt es zwei Möglichkeiten festzustellen, wie Ihre Website geschützt ist: In CloudWatch gibt es Metriken im 1-Minuten-Intervall und in der AWS WAF-API und der Management-Konsole sind Stichproben von Webanforderungen verfügbar. Aus diesen können Sie ersehen, welche Anforderungen blockiert, zugelassen oder gezählt wurden und welche Regel für eine bestimmte Anforderung zur Anwendung kam (etwa, dass diese Webanforderung aufgrund einer IP-Adressen-Bedingung blockiert war usw.). Weitere Informationen finden Sie im AWS WAF-Entwicklerhandbuch.

Mit AWS WAF können Sie eine "count"-Aktion für Regeln konfigurieren, die die Anzahl der Webanforderungen zählt, die die Bedingungen Ihrer Regel erfüllen. Sie können anhand der gezählten Webanforderungen abschätzen, wie viele Ihrer Webanforderungen bei aktivierter Regel blockiert oder zugelassen werden.

Echtzeit-Metriken werden in Amazon CloudWatch gespeichert. Mit Amazon CloudWatch können Sie einstellen, nach welcher Zeitspanne Ereignisse ablaufen. Webanforderungen-Stichproben werden bis zu 3 Stunden gespeichert.

Ja. AWS WAF unterstützt den Schutz von Anwendungen und kann sowohl über HTTP als auch über HTTPS übertragene Webanforderungen prüfen.

AWS WAF Fraud Control – Kontoübernahmeschutz

Account Takeover Prevention (ATP) ist eine verwaltete Regelgruppe, die den Datenverkehr auf der Anmeldeseite Ihrer Anwendung überwacht, um unbefugten Zugriff auf Benutzerkonten mit kompromittierten Anmeldedaten zu erkennen. Sie können ATP verwenden, um Angriffe zum Ausfüllen von Anmeldedaten, Brute-Force-Anmeldeversuche und andere anomale Anmeldeaktivitäten zu verhindern. Während der Anmeldeversuche bei Ihrer Anwendung prüft ATP in Echtzeit, ob die übermittelten Benutzernamen und Passwörter an anderer Stelle im Internet kompromittiert wurden. ATP prüft auf anomale Anmeldeversuche, die von bösartigen Akteuren stammen, und korreliert Anfragen, die im Laufe der Zeit beobachtet wurden, um Ihnen dabei zu helfen, Brute-Force-Versuche und Angriffe zum Ausfüllen von Anmeldedaten zu erkennen und zu entschärfen. ATP bietet auch optionale JavaScript- und iOS/Android-SDKs an, die in Ihre Anwendung integriert werden können, um Ihnen zusätzliche Telemetriedaten über Benutzergeräte zu liefern, die versuchen, sich bei Ihrer Anwendung anzumelden, um Ihre Anwendung besser vor automatisierten Anmeldeversuchen durch Bots zu schützen.

Der Datenverkehr zwischen Benutzergeräten und Ihrer Anwendung wird durch das SSL/TLS-Protokoll gesichert, das Sie für den AWS-Service konfigurieren, den Sie für Ihre Anwendung verwenden, wie Amazon CloudFront, Application Load Balancer, Amazon API Gateway oder AWS AppSync. Sobald eine Benutzeranmeldung AWS WAF erreicht, prüft AWS WAF die Anmeldung, hasht sie und verwirft sie dann sofort, wobei die Anmeldeinformationen das AWS-Netzwerk nie verlassen. Jede Kommunikation zwischen den AWS-Services, die Sie in Ihrer Anwendung verwenden, und AWS WAF wird während der Übertragung und im Ruhezustand verschlüsselt.

Bot Control verschafft Ihnen Transparenz und Kontrolle über den weit verbreiteten Bot-Datenverkehr, der Ressourcen verbrauchen, Metriken verfälschen, Ausfallzeiten verursachen und andere unerwünschte Aktivitäten durchführen kann. Bot Control überprüft verschiedene Header-Felder und Anfrageeigenschaften auf bekannte Bot-Signaturen, um automatisierte Bots wie Scraper, Scanner und Crawler zu erkennen und zu kategorisieren.

Account Takeover Prevention (ATP) verschafft Ihnen Einblick und Kontrolle über anomale Anmeldeversuche von böswilligen Akteuren, die kompromittierte Anmeldedaten verwenden, und hilft Ihnen so, unbefugte Zugriffe zu verhindern, die zu betrügerischen Aktivitäten führen könnten. ATP wird verwendet, um die Anmeldeseite Ihrer Anwendung zu schützen.

Bot Control und ATP können unabhängig voneinander oder zusammen verwendet werden. Wie bei den von Bot Control verwalteten Regelgruppen können Sie die Standard-Regelaktion von ATP verwenden, um entsprechende Anfragen zu blockieren, oder Sie können das Verhalten von ATP mithilfe der AWS-WAF-Risikominderungsfunktionen anpassen.

Erstellen Sie in der AWS-WAF-Konsole eine neue Web-ACL, oder ändern Sie eine bestehende Web-ACL, wenn Sie AWS WAF bereits verwenden. Der Assistent hilft Ihnen bei der Konfiguration der Grundeinstellungen, z. B. welche Ressource Sie schützen möchten und welche Regeln Sie hinzufügen möchten. Wenn Sie aufgefordert werden, Regeln hinzuzufügen, wählen Sie „Verwaltete Regeln hinzufügen“ und dann aus der Liste der verwalteten Regeln die Option „Betrugsprävention bei der Kontoeröffnung“. Um ATP zu konfigurieren, geben Sie die URL der Anmeldeseite Ihrer Anwendung ein und geben an, wo sich die Formularfelder für den Benutzernamen und das Passwort im Textteil der Anfrage befinden.

JavaScript und Mobile SDKs liefern zusätzliche Telemetriedaten über Benutzergeräte, die versuchen, sich bei Ihrer Anwendung anzumelden, um Ihre Anwendung besser vor automatischen Anmeldeversuchen durch Bots zu schützen. Sie müssen nicht unbedingt eines der SDKs verwenden, aber wir empfehlen Ihnen, dies für zusätzlichen Schutz zu tun.

Wenn ATP feststellt, dass die Anmeldeinformationen eines Benutzers kompromittiert wurden, generiert es eine Markierung, um einen Treffer anzuzeigen. Standardmäßig blockiert die AWS WAF automatisch Anmeldeversuche, die als böswillig oder anomal eingestuft werden (z. B. ungewöhnlich viele fehlgeschlagene Anmeldeversuche, Wiederholungstäter und Anmeldeversuche von Bots). Sie können ändern, wie AWS WAF auf Übereinstimmungen reagiert, indem Sie AWS-WAF-Regeln schreiben, die auf das Label reagieren.

AWS WAF Fraud Control – Betrugsprävention bei der Kontoeröffnung

Betrugsprävention bei der Kontoeröffnung (Account Creation Fraud Prevention – ACFP) ist eine kostenpflichtige, verwaltete Regelgruppe, mit der Sie gefälschte Kontoerstellungs-Angriffe auf Ihre Anmelde- oder Registrierungsseite erkennen und abwehren können. Sie können ACFP verwenden, um Missbrauch von Werbeaktionen oder Anmeldungen, Treuepunkten oder Prämien sowie Phishing zu verhindern. Bei der Registrierung neuer Konten überprüft ACFP alle übermittelten Anmeldeinformationen (d. h. Benutzername und Passwort), die verwendeten E-Mail-Domain und andere Informationen wie Telefonnummern und Adressfelder, die in Echtzeit eingegeben wurden, und blockiert den Anmeldeversuch, falls eine dieser Informationen als gestohlen gilt oder einen schlechten Ruf hat. Darüber hinaus enthält ACFP Vorhersagen für Betrugsrisiken, die Sie verwenden können, ohne dass Sie umfassende Kenntnisse über ML-basierte Erkennungsmodelle benötigen. ACFP bietet auch empfohlene JavaScript- und iOS/Android-SDKs an, die in Ihre Anwendung integriert werden können, um Ihnen zusätzliche Telemetrie zum Benutzer zur Verfügung zu stellen und Ihre Anwendung besser vor automatisierten Anmeldeversuchen von Bots zu schützen.

Kontoübernahme greift die Anmeldeseite einer Anwendung an, um sich unbefugten Zugriff auf ein bestehendes Konto zu verschaffen, wohingegen Betrug bei der Kontoerstellung die Anmeldeseite der Anwendung ins Visier nimmt, um mit diesen gefälschten Konten Betrug zu begehen. ATP konzentriert sich auf die Verhinderung von Credential-Stuffing und Brute-Force-Angriffen, bei denen Angreifer Hunderte von Anmeldeversuchen automatisieren und gestohlene Anmeldeinformationen auf mehreren Websites testen. Stattdessen konzentriert sich ACFP auf die Verhinderung von automatisiertem Betrug wie Werbe- oder Anmeldemissbrauch, Missbrauch von Treuepunkten oder Prämien sowie Phishing. ACFP und ATP können unabhängig voneinander oder zusammen verwendet werden.

Erstellen Sie in der AWS-WAF-Konsole eine neue Web-ACL, oder ändern Sie eine bestehende Web-ACL, wenn Sie AWS WAF bereits verwenden. Der Assistent hilft Ihnen bei der Konfiguration der Grundeinstellungen, z. B. welche Ressource Sie schützen möchten und welche Regeln Sie hinzufügen möchten. Wenn Sie aufgefordert werden, Regeln hinzuzufügen, wählen Sie „Verwaltete Regeln hinzufügen“ und dann aus der Liste der verwalteten Regeln die Option „Kontoübernahme-Schutz“. Um ACFP zu konfigurieren, geben Sie die URL der Kontoerstellungs- und Registrierungsseite Ihrer Anwendung ein. Darüber hinaus können Sie auch angeben, wo sich die Formularfelder Benutzername, Passwort, Adresse und Telefonnummer im Text der Anfrage befinden.

Optional, aber sehr zu empfehlen. Die SDK-Integration bietet zusätzliche Informationen wie Browserversionen, Plugins und Canvas-Daten, die die Wirksamkeit der ACP-Regeln erhöhen. Wenn die SDK-Integration nicht verwendet wird, setzen wir dies mithilfe der Aktion „Challenge“ durch. Die Aktion „Challenge“ funktioniert nicht gut mit Single Page Applications (SPA) und nativen Mobile-Apps, daher ist für diese Anwendungen die SDK-Integration erforderlich. Für andere Apps, die einer Seitenaktualisierung standhalten, wie z. B. HTML-Seiten, ist die SDK-Integration optional. Wir unterstützen das JS-SDK für Webanwendungen und das Android- und iOS-SDK für native mobile Anwendungen.

Sie können beobachten, wie ACFP Ihre Anwendung schützt, indem Sie sich das Betrugs-Dashboard auf der Konsole, die vollständige WAF-Protokollierung und CloudWatch Metrics ansehen.

Dashboard: Ein zentrales Dashboard zur Überwachung von Anfragen, die von ACFP und ATP CloudWatch Metrics analysiert wurden: Alle Regelaktionen mit der ACFP-Regelgruppe geben CloudWatch-Metriken aus, mit denen Kunden Warnmeldungen und Benachrichtigungen erstellen können.

WAF-Protokollierung: Alle von ACFP analysierten Anfragen werden in WAF-Protokollen protokolliert. So können Sie die vorhandenen Protokollierungslösungen nutzen, um Protokolle für von ACFP verwaltete Regeln abzufragen und zu analysieren. ACFP protokolliert Details wie Regelmaßnahmen, Label-Informationen und Risikoeinstufungen, anhand derer die Wirksamkeit von ACFP verfolgt werden kann.