Điểm:0

Bảo vệ cổng API DDOS AWS

lá cờ in

Tôi đã công khai Cổng API (HTTP). Để xác thực, bạn phải cung cấp JWT hợp lệ.

Tôi muốn bảo mật APIGW này bằng Cloudfront + WAF. Sau khi đọc tài liệu Tôi nghĩ rằng điểm cuối API Gateway vẫn tiếp xúc với Internet. Điều duy nhất bảo vệ Cổng API là xác minh Tiêu đề trong WAF. Kẻ tấn công vẫn có thể tìm thấy API Gateway trên Internet và thực hiện tấn công DDOS trực tiếp vào điểm cuối API Gateway mà không cần thông qua Cloudfront.

Phương pháp này có được coi là an toàn không? Cloudflare đang sử dụng Đường hầm để đảm bảo rằng cơ sở hạ tầng của bạn không tiếp xúc với Internet. Tôi nghĩ cách tiếp cận này an toàn hơn nhiều. Một cái gì đó như thế này có sẵn trong AWS?

Tim avatar
lá cờ gp
Tim
Đề nghị bạn chỉnh sửa câu hỏi của mình để cho chúng tôi biết thêm về API của bạn. Nó có nghĩa là được tiếp xúc với internet công cộng hay nó có nghĩa là một API riêng tư? Nó có yêu cầu xác thực không, nếu có thì thông tin xác thực được chuyển vào là gì và như thế nào? Bạn có thể có các điểm cuối Cổng API riêng trong VPC của mình và tôi nghĩ bạn có thể truy cập các điểm cuối đó qua VPN/DirectConnect. Nếu bạn cần API hiển thị với internet, thì có, hãy hiển thị nó. AWS Shield hoạt động trong AWS / CloudFront sẽ bảo vệ tốt cho nó.
krzysiexp avatar
lá cờ in
Đã thêm một thông tin ngắn gọn. Vì vậy, bạn nghĩ rằng ngay cả khi API Gateway tiếp xúc với Internet (nhưng có thể truy cập thông qua Cloudfront) thì nó vẫn an toàn và được bảo vệ khỏi DDoS?
Điểm:0
lá cờ gp
Tim

Ý kiến ​​của tôi là việc đặt một Cổng API trên internet phía sau CloudFront có thể đủ an toàn. Nó được thiết kế để làm chính xác điều đó. Bạn có thể sử dụng CloudFront để hạn chế phân phối theo khu vực địa lý nếu cần, nhưng nhìn chung AWS Shield kết hợp với CloudFront / Route53 sẽ cung cấp cho bạn khả năng bảo vệ đầy đủ trước DDOS.

Bạn có thể đặt bản phân phối Cổng API của mình ở chế độ riêng tư, sau đó đưa nó ra internet thông qua VPC/VPN, nhưng điều đó tốn nhiều công sức hơn và chi phí cao hơn. Tôi có xu hướng chỉ sử dụng Cổng API riêng khi nó cung cấp dịch vụ chỉ được sử dụng bởi một ứng dụng duy nhất trong AWS.

API Gateway là một dịch vụ được quản lý. AWS không muốn các dịch vụ được quản lý của họ bị tê liệt bởi các cuộc tấn công DDOS, vì vậy, họ bảo vệ chúng và giảm thiểu các cuộc tấn công DDOS khi chúng xảy ra.

Nếu thực sự lo lắng về điều này, bạn luôn có thể trả phí cho AWS Shield Advanced, nhưng mức phí là 3.000 USD mỗi tháng. Điều này thường được sử dụng bởi các doanh nghiệp mà chi phí không phải là yếu tố chính.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.