Защита AWS от массовых доступов

Question

Сначала давайте посмотрим на объяснение AWS того, на что вы здесь ссылаетесь:

https://aws.amazon.com/ec2/pricing/

30 ГБ блочного хранилища Amazon Elastic в любой комбинации общего назначения (SSD) или магнитного накопителя, а также 2 миллиона операций ввода-вывода (с магнитным накопителем) и 1 ГБ хранилища моментальных снимков

Эти операции ввода-вывода предназначены для прямого доступа к диску, и поскольку ваш файл index.php будет кэширован и загружен в память, в зависимости от того, что делает ваш файл index.php, маловероятно, что это повлияет на ваш ввод-вывод.

Один из способов проверить и отследить вашу обеспокоенность внезапным всплеском обращений и запросов — запустить популярную утилиту Bees with Machine Guns (https://github.com/newsapps/beeswithmachineguns) на вашем веб-приложении и отслеживайте влияние в CloudWatch. CloudWatch по умолчанию отслеживает с интервалом в 5 минут, поэтому будьте терпеливы; если вы измените CloudWatch на отслеживание с интервалом в 1 минуту, с вас будет взиматься дополнительная плата, поэтому будьте осторожны. Обратите внимание, что поскольку вы по сути будете запускать атаку типа «отказ в обслуживании» на свой экземпляр, вам необходимо заранее получить разрешение от AWS на запуск теста, иначе вы рискуете заблокировать свой аккаунт AWS. (https://aws.amazon.com/security/penetration-testing)

Я думаю, что самый простой и, вероятно, самый дешевый способ защитить ваш сервер от нежелательных скачков трафика или полномасштабной атаки DDoS (Distributed Denial of Service) — это использовать управляемый сервис вроде CloudFlare.com. Конечно, вы можете использовать устройство безопасности вроде Sophos UTM 9 или Imperva, но вам нужно будет знать, как его настраивать и обслуживать, в дополнение к дополнительным почасовым и лицензионным расходам.

Недавно AWS анонсировала AWS WAF (брандмауэр веб-приложений), но, похоже, его придется связать с CloudFront.https://aws.amazon.com/blogs/aws/new-aws-waf)

Если вы не хотите использовать другие инструменты, вам придется постоянно контролировать свое веб-приложение и блокировать нежелательные запросы, когда они приходят, используя виртуальную частную сеть (VPC) и средства управления сетевым доступом (NACL) в ваших подсетях VPC. Хотя это и будет работать, вы можете обнаружить, что играете в «бей крота», если ваш сайт подвергается частым атакам.

Наконец, лучший способ защитить свой веб-сайт — использовать несколько уровней безопасности (т. н. эшелонированная защита), поэтому, если вы не уверены, как это сделать, я рекомендую вам выпить чашечку кофе (или две) и начать изучать OWASP (Открытый проект по безопасности веб-приложений). (www.owasp.org)

Answer 1

Сначала давайте посмотрим на объяснение AWS того, на что вы здесь ссылаетесь:

https://aws.amazon.com/ec2/pricing/

30 ГБ блочного хранилища Amazon Elastic в любой комбинации общего назначения (SSD) или магнитного накопителя, а также 2 миллиона операций ввода-вывода (с магнитным накопителем) и 1 ГБ хранилища моментальных снимков

Эти операции ввода-вывода предназначены для прямого доступа к диску, и поскольку ваш файл index.php будет кэширован и загружен в память, в зависимости от того, что делает ваш файл index.php, маловероятно, что это повлияет на ваш ввод-вывод.

Один из способов проверить и отследить вашу обеспокоенность внезапным всплеском обращений и запросов — запустить популярную утилиту Bees with Machine Guns (https://github.com/newsapps/beeswithmachineguns) на вашем веб-приложении и отслеживайте влияние в CloudWatch. CloudWatch по умолчанию отслеживает с интервалом в 5 минут, поэтому будьте терпеливы; если вы измените CloudWatch на отслеживание с интервалом в 1 минуту, с вас будет взиматься дополнительная плата, поэтому будьте осторожны. Обратите внимание, что поскольку вы по сути будете запускать атаку типа «отказ в обслуживании» на свой экземпляр, вам необходимо заранее получить разрешение от AWS на запуск теста, иначе вы рискуете заблокировать свой аккаунт AWS. (https://aws.amazon.com/security/penetration-testing)

Я думаю, что самый простой и, вероятно, самый дешевый способ защитить ваш сервер от нежелательных скачков трафика или полномасштабной атаки DDoS (Distributed Denial of Service) — это использовать управляемый сервис вроде CloudFlare.com. Конечно, вы можете использовать устройство безопасности вроде Sophos UTM 9 или Imperva, но вам нужно будет знать, как его настраивать и обслуживать, в дополнение к дополнительным почасовым и лицензионным расходам.

Недавно AWS анонсировала AWS WAF (брандмауэр веб-приложений), но, похоже, его придется связать с CloudFront.https://aws.amazon.com/blogs/aws/new-aws-waf)

Если вы не хотите использовать другие инструменты, вам придется постоянно контролировать свое веб-приложение и блокировать нежелательные запросы, когда они приходят, используя виртуальную частную сеть (VPC) и средства управления сетевым доступом (NACL) в ваших подсетях VPC. Хотя это и будет работать, вы можете обнаружить, что играете в «бей крота», если ваш сайт подвергается частым атакам.

Наконец, лучший способ защитить свой веб-сайт — использовать несколько уровней безопасности (т. н. эшелонированная защита), поэтому, если вы не уверены, как это сделать, я рекомендую вам выпить чашечку кофе (или две) и начать изучать OWASP (Открытый проект по безопасности веб-приложений). (www.owasp.org)

Защита AWS от массовых доступов

решение1

Связанный контент