Protegendo a AWS contra acessos massivos

Question

Primeiro, vamos dar uma olhada na explicação da AWS sobre o que você está referenciando aqui:

https://aws.amazon.com/ec2/pricing/

30 GB de Amazon Elastic Block Storage em qualquer combinação de uso geral (SSD) ou magnético, além de 2 milhões de E/S (com magnético) e 1 GB de armazenamento de snapshots

Essas E/S são para acesso direto ao disco e, como seu arquivo index.php será armazenado em cache e carregado na memória, dependendo do que seu arquivo index.php estiver fazendo, é improvável que tenha impacto em sua E/S.

Uma maneira de testar e monitorar sua preocupação com um aumento repentino de acessos e solicitações é executar o popular utilitário Bees with Machine Guns (https://github.com/newsapps/beeswithmachineguns) em seu aplicativo Web e monitore o impacto no CloudWatch. Por padrão, o CloudWatch monitora em incrementos de 5 minutos, então seja paciente; se você alterar o CloudWatch para monitorar em intervalos de 1 minuto, você será cobrado a mais, portanto, tome cuidado. Observe que, como você basicamente executará um ataque de negação de serviço em sua instância, precisará obter permissão da AWS para executar o teste com antecedência ou correrá o risco de ter sua conta da AWS suspensa. (https://aws.amazon.com/security/penetration-testing)

Acho que a maneira mais fácil e provavelmente mais barata de proteger seu servidor contra picos indesejados de tráfego ou um ataque DDoS (negação de serviço distribuída) seria usar um serviço gerenciado como CloudFlare.com. É claro que você pode usar um dispositivo de segurança como o Sophos UTM 9 ou Imperva, mas precisará saber como configurá-lo e mantê-lo, além dos custos extras por hora e de licenciamento.

A AWS anunciou recentemente o AWS WAF (Web Application Firewall), mas parece que você precisa associá-lo ao CloudFront. (https://aws.amazon.com/blogs/aws/new-aws-waf)

Se não quiser usar nenhuma outra ferramenta, você terá que monitorar consistentemente seu aplicativo Web e bloquear solicitações indesejadas quando elas vierem usando Rede Privada Virtual (VPC) e Controles de Acesso à Rede (NACLs) em suas sub-redes VPC. Embora isso funcione, você pode acabar brincando se seu site estiver sob ataques frequentes.

Por fim, a melhor maneira de proteger seu site é usar múltiplas camadas de segurança (também conhecido como Defense in Depth). Portanto, se você não tiver certeza de como fazer isso, recomendo pegar uma xícara de café (ou duas) e começar a aprender no OWASP (The Abra o projeto de segurança de aplicativos da Web). (www.owasp.org)

Answer 1

Primeiro, vamos dar uma olhada na explicação da AWS sobre o que você está referenciando aqui:

https://aws.amazon.com/ec2/pricing/

30 GB de Amazon Elastic Block Storage em qualquer combinação de uso geral (SSD) ou magnético, além de 2 milhões de E/S (com magnético) e 1 GB de armazenamento de snapshots

Essas E/S são para acesso direto ao disco e, como seu arquivo index.php será armazenado em cache e carregado na memória, dependendo do que seu arquivo index.php estiver fazendo, é improvável que tenha impacto em sua E/S.

Uma maneira de testar e monitorar sua preocupação com um aumento repentino de acessos e solicitações é executar o popular utilitário Bees with Machine Guns (https://github.com/newsapps/beeswithmachineguns) em seu aplicativo Web e monitore o impacto no CloudWatch. Por padrão, o CloudWatch monitora em incrementos de 5 minutos, então seja paciente; se você alterar o CloudWatch para monitorar em intervalos de 1 minuto, você será cobrado a mais, portanto, tome cuidado. Observe que, como você basicamente executará um ataque de negação de serviço em sua instância, precisará obter permissão da AWS para executar o teste com antecedência ou correrá o risco de ter sua conta da AWS suspensa. (https://aws.amazon.com/security/penetration-testing)

Acho que a maneira mais fácil e provavelmente mais barata de proteger seu servidor contra picos indesejados de tráfego ou um ataque DDoS (negação de serviço distribuída) seria usar um serviço gerenciado como CloudFlare.com. É claro que você pode usar um dispositivo de segurança como o Sophos UTM 9 ou Imperva, mas precisará saber como configurá-lo e mantê-lo, além dos custos extras por hora e de licenciamento.

A AWS anunciou recentemente o AWS WAF (Web Application Firewall), mas parece que você precisa associá-lo ao CloudFront. (https://aws.amazon.com/blogs/aws/new-aws-waf)

Se não quiser usar nenhuma outra ferramenta, você terá que monitorar consistentemente seu aplicativo Web e bloquear solicitações indesejadas quando elas vierem usando Rede Privada Virtual (VPC) e Controles de Acesso à Rede (NACLs) em suas sub-redes VPC. Embora isso funcione, você pode acabar brincando se seu site estiver sob ataques frequentes.

Por fim, a melhor maneira de proteger seu site é usar múltiplas camadas de segurança (também conhecido como Defense in Depth). Portanto, se você não tiver certeza de como fazer isso, recomendo pegar uma xícara de café (ou duas) e começar a aprender no OWASP (The Abra o projeto de segurança de aplicativos da Web). (www.owasp.org)

Protegendo a AWS contra acessos massivos

Responder1

informação relacionada