API 게이트웨이(HTTP)를 공개적으로 노출했습니다. 인증하려면 유효한 JWT를 제공해야 합니다.
Cloudfront + WAF를 사용하여 이 APIGW를 보호하고 싶습니다. 읽고 나서문서API Gateway 엔드포인트가 여전히 인터넷에 노출되어 있다고 생각합니다. API Gateway를 보호하는 유일한 방법은 WAF의 헤더 검증입니다. 공격자는 여전히 인터넷에서 API 게이트웨이를 찾아 Cloudfront를 거치지 않고 API 게이트웨이 엔드포인트에 직접 DDOS 공격을 수행할 수 있습니다.
이 접근 방식은 안전한 것으로 간주됩니까? Cloudflare가 사용하는터널인프라가 인터넷에 노출되지 않도록 합니다. 나는 이 접근 방식이 훨씬 더 안전하다고 생각한다. AWS에서 이와 같은 기능을 사용할 수 있습니까?
답변1
제 생각에는 CloudFront 뒤의 인터넷에 API 게이트웨이를 배치하는 것이 충분히 안전할 것 같습니다. 정확히 그렇게하도록 설계되었습니다. 필요한 경우 CloudFront를 사용하여 지리적 배포를 제한할 수 있지만 일반적으로 CloudFront/Route53과 결합된 AWS Shield는 DDOS로부터 충분한 보호를 제공합니다.
API 게이트웨이 배포판을 비공개로 설정한 다음 VPC/VPN을 통해 인터넷에 노출할 수 있지만 이는 더 많은 작업과 비용을 발생시킵니다. 저는 AWS의 단일 애플리케이션에서만 사용되는 서비스를 제공할 때만 프라이빗 API 게이트웨이를 사용하는 경향이 있습니다.
API 게이트웨이는 관리형 서비스입니다. AWS는 DDOS 공격으로 인해 관리형 서비스가 손상되는 것을 원하지 않기 때문에 DDOS 공격이 발생할 때 이를 보호하고 완화합니다.
이것이 정말로 걱정된다면 언제든지 AWS Shield Advanced를 지불할 수 있지만 월 요금은 US$3,000입니다. 이는 비용이 주요 요소가 아닌 기업에서 자주 사용됩니다.