Score:0

การป้องกันเกตเวย์ DDOS AWS API

ธง in

ฉันเปิดเผย API Gateway (HTTP) แบบสาธารณะแล้ว ในการตรวจสอบสิทธิ์ คุณต้องระบุ JWT ที่ถูกต้อง

ฉันต้องการรักษาความปลอดภัย APIGW นี้ด้วย Cloudfront + WAF ก่อนอ่าน เอกสาร ฉันคิดว่าจุดสิ้นสุดของ API Gateway ยังคงเปิดเผยต่ออินเทอร์เน็ต สิ่งเดียวที่ปกป้อง API Gateway คือการตรวจสอบ Header ใน WAF ผู้โจมตียังสามารถค้นหา API Gateway ในอินเทอร์เน็ตและทำการโจมตี DDOS ไปยังปลายทาง API Gateway ได้โดยตรงโดยไม่ต้องผ่าน Cloudfront

วิธีการนี้ถือว่าปลอดภัยหรือไม่? กำลังใช้ Cloudflare อุโมงค์ เพื่อให้แน่ใจว่าโครงสร้างพื้นฐานของคุณไม่เปิดเผยต่ออินเทอร์เน็ต ฉันคิดว่าวิธีนี้ปลอดภัยกว่ามาก มีสิ่งนี้ใน AWS หรือไม่

Tim avatar
gp flag
Tim
แนะนำให้คุณแก้ไขคำถามของคุณเพื่อบอกเราเพิ่มเติมเกี่ยวกับ API ของคุณ มันหมายถึงการเปิดเผยต่ออินเทอร์เน็ตสาธารณะหรือเป็น API ส่วนตัว? จำเป็นต้องมีการรับรองความถูกต้องหรือไม่ หากเป็นเช่นนั้น ข้อมูลประจำตัวจะถูกส่งผ่านอะไรและอย่างไร คุณสามารถมีจุดสิ้นสุดเกตเวย์ API ส่วนตัวภายใน VPC ของคุณ และฉันคิดว่าคุณสามารถเข้าถึงข้อมูลเหล่านั้นผ่าน VPN / DirectConnect หากคุณต้องการให้ API เปิดเผยบนอินเทอร์เน็ต ใช่ ให้เปิดเผย AWS Shield ที่ทำงานใน AWS / CloudFront จะให้การป้องกันที่ดี
krzysiexp avatar
in flag
เพิ่มข้อมูลสั้น ๆ คุณคิดว่าแม้ว่า API Gateway จะเปิดเผยต่ออินเทอร์เน็ต (แต่เข้าถึงได้ผ่าน Cloudfront) ก็จะปลอดภัยและป้องกันจาก DDoS?
Score:0
ธง gp
Tim

ความคิดเห็นของฉันคือการวาง API Gateway บนอินเทอร์เน็ตหลัง CloudFront นั้นปลอดภัยเพียงพอ มันถูกออกแบบมาเพื่อทำอย่างนั้น คุณสามารถใช้ CloudFront เพื่อจำกัดการกระจายทางภูมิศาสตร์ได้หากต้องการ แต่โดยทั่วไปแล้ว AWS Shield ที่รวมกับ CloudFront / Route53 จะให้การป้องกัน DDOS ที่เพียงพอแก่คุณ

คุณสามารถทำให้การแจกจ่าย API Gateway ของคุณเป็นส่วนตัว จากนั้นเปิดเผยบนอินเทอร์เน็ตผ่าน VPC / VPN แต่นั่นก็เป็นงานที่มากกว่าและมีค่าใช้จ่ายที่มากกว่า ฉันมักจะใช้เกตเวย์ API ส่วนตัวเฉพาะเมื่อให้บริการที่มีการใช้งานโดยแอปพลิเคชันเดียวใน AWS เท่านั้น

API Gateway เป็นบริการที่มีการจัดการ AWS ไม่ต้องการให้บริการที่มีการจัดการของตนถูกทำลายโดยการโจมตี DDOS ดังนั้นพวกเขาจึงปกป้องและบรรเทาการโจมตี DDOS เมื่อเกิดขึ้น

หากคุณกังวลเกี่ยวกับเรื่องนี้จริงๆ คุณสามารถชำระเงินสำหรับ AWS Shield Advanced ได้ตลอดเวลา แต่จ่าย 3,000 เหรียญสหรัฐฯ ต่อเดือน มักใช้โดยองค์กรที่ต้นทุนไม่ใช่ปัจจัยหลัก

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา