我在 ec2 实例上有一个域,可以实时访问(插入新线索)远程数据库。最近 AWS 建议使用 elb+cloud front 来确保安全。
可以在域上启用云端,并实时访问(插入新线索)远程数据库。
答案1
ELB 和 CloudFront 都提供了一定的安全性。它们通过在将连接传递到您的服务器之前终止连接来防止特定的第 3 层和第 7 层攻击。这包括分布式拒绝服务和懒猴。
CloudFront 的优势在于它在世界各地都有节点,并且拥有大量带宽。这可以缓解许多 DDOS 攻击,因为它的规模很大。ELB 也可以随着流量的增加而扩展,但速度不如 CloudFront 快,因为它必须启动或分配新服务器。
在 AWS 上传入流量是免费的。这意味着他们免费吸收攻击。
使用其中任何一种产品都可以提高您的安全性。您不需要同时使用两者。我建议您现在只使用 CloudWatch。
我刚刚为我的 EC2 服务器设置了 CloudFront,这相当简单,但在 https 方面有一些问题。主要步骤(包括 HTTPS)如下:
- 使用 AWS 证书管理器为 US-EAST-1 区域(必须是该区域)中的域(包括 www 子域)创建证书
- 为您的源设置一个新的子域。CloudFront 需要它。例如,我使用了 origin.example.com 并配置了 Nginx 以响应该地址。
- 使用该源设置 CloudFront,并将您的域和子域作为备用。仔细设置您的行为,考虑哪些应该缓存,哪些不应该缓存。即使没有缓存任何内容,您的网站也可能比通过互联网访问更快,因为一旦请求到达 CloudFront,它就会通过私有优化的 AWS 主干网而不是公共互联网传输。动态内容没问题,只需将 TTL 设置为 0。
- 理想情况下,设置 Route 53,使用别名记录指向 CloudFront,移动 DNS,并将其更改为您的名称服务器
如果你想进一步提高你的安全性,你可以使用AWS WAF。它与 CloudFront 集成。它比大多数 WAF 便宜,但如果全面设置,您可能每月只需花费几十美元。就我个人而言,我并不介意,我的服务并不重要。
如果你想要一个更简单的选择,使用云Flare。这不是 AWS 的一部分,但设置起来非常简单,而且他们有免费套餐。我在我的大多数网站上都使用它。