Ich habe API Gateway (HTTP) öffentlich zugänglich gemacht. Zur Authentifizierung müssen Sie ein gültiges JWT angeben.
Ich möchte dieses APIGW mit Cloudfront + WAF sichern. Nach dem LesenDokumenteIch denke, dass der API-Gateway-Endpunkt immer noch dem Internet ausgesetzt ist. Das einzige, was den API-Gateway schützt, ist die Überprüfung des Headers in WAF. Angreifer können den API-Gateway immer noch im Internet finden und einen DDOS-Angriff direkt auf den API-Gateway-Endpunkt ausführen, ohne Cloudfront zu durchlaufen.
Gilt dieser Ansatz als sicher? Cloudflare verwendetTunnelum sicherzustellen, dass Ihre Infrastruktur nicht dem Internet ausgesetzt ist. Ich denke, dieser Ansatz ist viel sicherer. Ist so etwas in AWS verfügbar?
Antwort1
Meiner Meinung nach ist es wahrscheinlich ausreichend sicher, ein API-Gateway im Internet hinter CloudFront zu platzieren. Es ist genau für diesen Zweck konzipiert. Sie können CloudFront verwenden, um die geografische Verteilung bei Bedarf einzuschränken, aber im Allgemeinen bietet Ihnen AWS Shield in Kombination mit CloudFront/Route53 ausreichend Schutz vor DDOS.
Sie können Ihre API-Gateway-Verteilung privat machen und sie dann über ein VPC/VPN dem Internet zugänglich machen, aber das ist mit mehr Arbeit und höheren Kosten verbunden. Ich neige dazu, private API-Gateways nur dann zu verwenden, wenn sie einen Dienst bereitstellen, der nur von einer einzigen Anwendung in AWS genutzt wird.
API Gateway ist ein verwalteter Dienst. AWS möchte nicht, dass seine verwalteten Dienste durch DDOS-Angriffe lahmgelegt werden. Deshalb schützt AWS sie und schwächt DDOS-Angriffe ab, wenn sie auftreten.
Wenn Sie sich darüber wirklich Sorgen machen, können Sie immer für AWS Shield Advanced bezahlen, das kostet jedoch 3.000 US-Dollar pro Monat. Dies wird häufig von Unternehmen verwendet, bei denen die Kosten nicht der Hauptfaktor sind.