Защита шлюза AWS API от DDOS

krzysiexp

05.08.2023, 08:11

У меня есть общедоступный API-шлюз (HTTP). Для аутентификации вы должны предоставить действительный JWT.

Я хочу защитить этот APIGW с помощью Cloudfront + WAF. После прочтения документы Я думаю, что конечная точка API Gateway по-прежнему открыта для Интернета. Единственное, что защищает API Gateway, — это проверка заголовка в WAF. Злоумышленник по-прежнему может найти шлюз API в Интернете и выполнить DDOS-атаку непосредственно на конечную точку шлюза API, минуя Cloudfront.

Этот подход считается безопасным? Cloudflare использует Туннель чтобы убедиться, что ваша инфраструктура не подвергается воздействию Интернета. Я думаю, что этот подход намного более безопасен. Есть ли что-то подобное в AWS?

0 + 0

amazon-cloudfront

ддос

амазон-веб-сервисы

amazon-api-шлюз

амазон-ваф

Tim

05.08.2023, 08:24

Предложите вам отредактировать свой вопрос, чтобы рассказать нам больше о вашем API. Предназначен ли он для доступа в общедоступный Интернет или это частный API? Требуется ли аутентификация, если да, то какие и как передаются учетные данные? У вас могут быть частные конечные точки шлюза API в вашем VPC, и я думаю, вы можете получить к ним доступ через VPN / DirectConnect. Если вам нужен API, доступный в Интернете, то да, раскрывайте его. AWS Shield, работающий в AWS/CloudFront, обеспечит ему хорошую защиту.

Ответить

krzysiexp

05.08.2023, 13:52

Добавил краткую информацию. Итак, вы думаете, что даже когда API Gateway подключен к Интернету (но доступен через Cloudfront), он безопасен и защищен от DDoS?

Ответить

Рейтинг:0

Server

Tim

05.08.2023, 18:17

Я считаю, что размещение API-шлюза в Интернете за CloudFront, вероятно, достаточно безопасно. Он предназначен именно для этого. Вы можете использовать CloudFront для ограничения географического распространения, если вам это нужно, но обычно AWS Shield в сочетании с CloudFront/Route53 обеспечивает достаточную защиту от DDOS.

Вы можете сделать свой дистрибутив шлюза API приватным, а затем предоставить его в Интернет через VPC/VPN, но это требует больше работы и дороже. Я склонен использовать частные шлюзы API только тогда, когда они предоставляют услугу, которая используется только одним приложением в AWS.

Шлюз API — это управляемая служба. AWS не хочет, чтобы их управляемые сервисы страдали от DDOS-атак, поэтому они защищают их и нейтрализуют DDOS-атаки, когда они происходят.

Если вас это действительно беспокоит, вы всегда можете заплатить за AWS Shield Advanced, но это 3000 долларов США в месяц. Это часто используется предприятиями, где стоимость не является основным фактором.

0 + 0

Admin

Этот вопрос на других языках:

EN: DDOS AWS API Gateway protection

TH: การป้องกันเกตเวย์ DDOS AWS API

RO: Protecție DDOS AWS API Gateway

RU: Защита шлюза AWS API от DDOS

VI: Bảo vệ cổng API DDOS AWS

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.