He expuesto públicamente API Gateway (HTTP). Para autenticarse debe proporcionar un JWT válido.
Quiero proteger este APIGW con Cloudfront + WAF. Despues de leerdocumentosCreo que el punto final de API Gateway todavía está expuesto a Internet. Lo único que protege API Gateway es la verificación del encabezado en WAF. El atacante aún puede encontrar API Gateway en Internet y realizar un ataque DDOS directamente al punto final de API Gateway sin pasar por Cloudfront.
¿Se considera seguro este enfoque? Cloudflare está usandoTúnelpara asegurarse de que su infraestructura no esté expuesta a Internet. Creo que este enfoque es mucho más seguro. ¿Hay algo como esto disponible en AWS?
Respuesta1
Mi opinión es que colocar una puerta de enlace API en Internet detrás de CloudFront probablemente sea lo suficientemente seguro. Está diseñado para hacer exactamente eso. Puede utilizar CloudFront para limitar la distribución geográfica si es necesario, pero generalmente AWS Shield combinado con CloudFront/Route53 le brindará suficiente protección contra DDOS.
Puede hacer que su distribución API Gateway sea privada y luego exponerla a Internet a través de una VPC/VPN, pero eso implica más trabajo y más costo. Tiendo a utilizar puertas de enlace API privadas solo cuando proporciono un servicio que solo es consumido por una única aplicación en AWS.
API Gateway es un servicio administrado. AWS no quiere que sus servicios administrados se vean afectados por ataques DDOS, por lo que los protege y mitiga los ataques DDOS cuando ocurren.
Si esto realmente le preocupa, siempre puede pagar AWS Shield Advanced, pero cuesta 3000 dólares al mes. Esto lo utilizan a menudo empresas donde el costo no es el factor principal.