Регистрация Войти
Рейтинг:0
realnsleo avatar Server

Можно ли создать шлюз API AWS для направления всех запросов в классический балансировщик нагрузки?

флаг uz
realnsleo

У меня есть вопросы (надеюсь не глупые). Я ИТ-специалист компании, размещающей различные приложения с помощью AWS, и в настоящее время у нас есть классический балансировщик нагрузки, стоящий перед 2–3 экземплярами EC2, которые обрабатывают весь наш веб-трафик. Это довольно простая конфигурация. За последние 13 часов мы подверглись атаке, которая, по нашему мнению, является вредоносной.Один человек (я думаю) пытается отправить более 500 запросов в секунду, я думаю, плохой актер. К сожалению, я не очень хорошо разбираюсь в devops, но я знаю, что это одна из областей, в которую мне нужно инвестировать после этого.

На данный момент я пытаюсь заблокировать/ограничить скорость этих запросов как можно скорее. Я читал в Интернете, что шлюз API может это сделать. Я был бы признателен за любые советы о том, какой тип шлюза API создать. Можно ли также создать шлюз API и направлять все запросы к этому шлюзу в балансировщик нагрузки? И можно ли также ограничить запросы на основе тела запроса, а не только IP-адреса? Спасибо, и я ценю любой ответ на это. Я также рад улучшить свой вопрос, где это необходимо.

98
1 + 2
Tim avatar
флаг gp
Tim
Что ты защищаешь? Веб-серверы, API-серверы, что-то еще? AWS WAF v2, вероятно, станет для вас лучшим продуктом. Кроме того, если он поступает с одного IP-адреса или небольшого набора, просто добавьте его в NACL в качестве запрета на входящий NACL, он будет удален гипервизором. Если у вас есть CloudFront, он может запускать NACL на периферии, если вы находитесь под DDOS, но вам, возможно, придется заплатить за расширенный щит, точно не помню.
1
Ответить
realnsleo avatar
флаг uz
realnsleo
Привет @Tim, спасибо за ваш ответ. Да, я защищаю веб-серверы EC2, находящиеся за балансировщиком нагрузки. К сожалению, приложения, работающие на веб-серверах, были созданы кем-то, кто ушел, и в настоящее время мы занимаемся их изменением. AWS WAF, похоже, может помочь. Запросы поступают с 5 конкретных IP-адресов. Я собираюсь прочитать больше об AWS WAF и посмотреть, как я могу быстро развернуть его. CloudFront кажется интересной темой. Спасибо! Позвольте мне заняться этим.
0
Ответить
Рейтинг:1
Tim avatar Server
флаг gp
Tim

Учитывая, что у вас есть очень небольшой набор IP-адресов, попадающих на ваш сервер, я предлагаю вам добавить запрещающие правила в список управления доступом к сети (NACL) вашей общедоступной подсети. Это в консоли EC2.

Если бы это был DDOS, то AWS Shield (бесплатный), вероятно, позаботился бы об этом, а если бы не AWS WAF, то тоже мог бы помочь.

0 + 1
realnsleo avatar
флаг uz
realnsleo
Спасибо!! AWS WAF сотворил со мной чудеса. Стандартный Щит тоже.Я буду продолжать следить, а также играть с пользовательскими правилами. А также нанять devops-инженера. Спасибо!
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.