Я выложил в открытый доступ API Gateway (HTTP). Для аутентификации вам необходимо предоставить действительный JWT.
Я хочу защитить этот APIGW с помощью Cloudfront + WAF. После прочтениядокументыЯ думаю, что конечная точка API Gateway все еще открыта для Интернета. Единственное, что защищает API Gateway, это проверка заголовка в WAF. Злоумышленник все еще может найти API Gateway в Интернете и выполнить DDOS-атаку напрямую на конечную точку API Gateway, минуя Cloudfront.
Считается ли этот подход безопасным? Cloudflare используетТуннельчтобы убедиться, что ваша инфраструктура не подвергается воздействию Интернета. Я думаю, что этот подход гораздо более безопасен. Есть ли что-то подобное в AWS?
решение1
Я считаю, что размещение API Gateway в Интернете за CloudFront, скорее всего, достаточно безопасно. Он разработан именно для этого. Вы можете использовать CloudFront для ограничения географического распространения, если вам это нужно, но, как правило, AWS Shield в сочетании с CloudFront / Route53 даст вам достаточную защиту от DDOS.
Вы можете сделать распределение API Gateway частным, а затем выставить его в Интернет через VPC / VPN, но это больше работы и больше затрат. Я склонен использовать частные API Gateway только тогда, когда он предоставляет услугу, которая используется только одним приложением в AWS.
API Gateway — это управляемая служба. AWS не хочет, чтобы их управляемые службы были парализованы DDOS-атаками, поэтому они защищают их и смягчают DDOS-атаки, когда они происходят.
Если вас это действительно беспокоит, вы всегда можете заплатить за AWS Shield Advanced, но это стоит 3000 долларов США в месяц. Это часто используется предприятиями, где стоимость не является основным фактором.