Puncte:0

Protecție DDOS AWS API Gateway

drapel in

Am expus public API Gateway (HTTP). Pentru a vă autentifica, trebuie să furnizați un JWT valid.

Vreau să securizez acest APIGW cu Cloudfront + WAF. Dupa citit docs Cred că punctul final API Gateway este încă expus la Internet. Singurul lucru care protejează API Gateway este verificarea antetului în WAF. Atacatorul poate găsi în continuare API Gateway pe Internet și poate efectua atacuri DDOS direct la punctul final API Gateway fără a trece prin Cloudfront.

Este această abordare considerată sigură? Cloudflare folosește Tunel pentru a vă asigura că infrastructura dumneavoastră nu este expusă la Internet. Cred că această abordare este mult mai sigură. Este ceva de genul acesta disponibil în AWS?

Tim avatar
drapel gp
Tim
Vă sugerăm să vă editați întrebarea pentru a ne spune mai multe despre API-ul dvs. Este menit să fie expus la internetul public sau este menit să fie un API privat? Necesită autentificare, dacă da față de ce și cum sunt transmise acreditările? Puteți avea puncte finale private API Gateway în VPC-ul dvs. și cred că le puteți accesa prin VPN / DirectConnect. Dacă aveți nevoie de API-ul expus la internet, atunci da, expuneți-l. AWS Shield care lucrează în AWS / CloudFront îi va oferi o protecție bună.
krzysiexp avatar
drapel in
S-a adăugat o scurtă informație. Deci credeți că chiar și atunci când API Gateway este expus la Internet (dar accesibil prin Cloudfront) este sigur și protejat împotriva DDoS?
Puncte:0
drapel gp
Tim

Părerea mea este că punerea unui API Gateway pe internet în spatele CloudFront este probabil suficient de sigură. Este conceput pentru a face exact asta. Puteți utiliza CloudFront pentru a limita distribuția geografică dacă este necesar, dar, în general, AWS Shield combinat cu CloudFront / Route53 vă va oferi suficientă protecție împotriva DDOS.

Puteți face distribuția dvs. API Gateway privată, apoi o expuneți la internet printr-un VPC / VPN, dar asta înseamnă mai multă muncă și mai mult cost. Tind să folosesc gateway-uri API private numai atunci când furnizează un serviciu care este consumat doar de o singură aplicație în AWS.

API Gateway este un serviciu gestionat. AWS nu dorește ca serviciile lor gestionate să fie paralizate de atacuri DDOS, așa că le protejează și atenuează atacurile DDOS atunci când apar.

Dacă ești cu adevărat îngrijorat de acest lucru, poți oricând să plătești pentru AWS Shield Advanced, dar costă 3.000 USD pe lună. Acesta este adesea folosit de întreprinderi în care costul nu este factorul principal.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.