DDOS AWS API 网关保护

DDOS AWS API 网关保护

我已公开 API 网关 (HTTP)。要进行身份验证,您必须提供有效的 JWT。

我想使用 Cloudfront + WAF 保护这个 APIGW。阅读后文档我认为 API Gateway 端点仍然暴露在互联网上。唯一可以保护 API Gateway 的是在 WAF 中验证 Header。攻击者仍然可以在互联网中找到 API Gateway,并直接对 API Gateway 端点执行 DDOS 攻击,而无需通过 Cloudfront。

这种方法是否安全?Cloudflare 正在使用隧道确保您的基础设施不会暴露在互联网上。我认为这种方法更安全。AWS 中是否有类似的东西?

答案1

我的观点是,将 API 网关放在 CloudFront 后面的互联网上可能足够安全。它就是为此而设计的。如果需要,您可以使用 CloudFront 来限制地理分布,但通常 AWS Shield 与 CloudFront / Route53 相结合将为您提供足够的 DDOS 保护。

您可以将 API 网关分发设为私有,然后通过 VPC/VPN 将其公开到互联网,但这需要更多工作和更多成本。我倾向于仅在提供仅由 AWS 中的单个应用程序使用的服务时才使用私有 API 网关。

API 网关是一种托管服务。AWS 不希望其托管服务受到 DDOS 攻击的影响,因此他们会保护这些服务并在发生 DDOS 攻击时缓解攻击。

如果你真的担心这个问题,你可以购买 AWS Shield Advanced,但每月费用为 3,000 美元。这通常由那些不以成本为主要考虑因素的企业使用。

相关内容