Entrega de aplicaciones web en la periferia () BP1 - AWS Mejores prácticas para la DDoS resiliencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Entrega de aplicaciones web en la periferia () BP1

Amazon CloudFront es un servicio que se puede utilizar para ofrecer todo tu sitio web, incluido contenido estático, dinámico, de streaming e interactivo. Las conexiones persistentes y la configuración variable time-to-live (TTL) se pueden usar para reducir el tráfico de tu sitio de origen, incluso si no publicas contenido que se pueda almacenar en caché. El uso de estas CloudFront funciones reduce el número de solicitudes y TCP conexiones que vuelven a su origen, lo que ayuda a proteger su aplicación web de las inundaciones. HTTP

CloudFront solo acepta conexiones bien formadas, lo que ayuda a evitar que muchos DDoS ataques comunes, como SYN las inundaciones y los ataques de UDP reflexión, lleguen a su origen. DDoSLos ataques también están aislados geográficamente cerca de la fuente, lo que evita que el tráfico afecte a otras ubicaciones. Estas funciones pueden mejorar considerablemente su capacidad de seguir proporcionando tráfico a los usuarios durante los ataques de gran DDoS envergadura. Se puede utilizar CloudFront para proteger un origen en Internet AWS o en cualquier otro lugar.

Si utilizas Amazon Simple Storage Service (Amazon S3) para publicar contenido estático en Internet, te AWS recomienda que utilices Amazon CloudFront para proteger tu depósito, ya que ofrece las siguientes ventajas:

  • Restringe el acceso al bucket de Amazon S3 para que no sea de acceso público.

  • Garantiza que los espectadores (usuarios) solo puedan acceder al contenido del bucket a través de la CloudFront distribución especificada, es decir, evita que accedan al contenido directamente desde el bucket o a través de una distribución no deseada. CloudFront

Para lograrlo, CloudFront configúrelo para enviar solicitudes autenticadas a Amazon S3 y configure Amazon S3 para que solo permita el acceso a las solicitudes autenticadas desde. CloudFront CloudFront proporciona dos formas de enviar solicitudes autenticadas a un origen de Amazon S3: control de acceso de origen (OAC) e identidad de acceso de origen (OAI). Recomendamos su uso OAC porque es compatible con:

  • Todos los buckets de Amazon S3 en total Regiones de AWS, incluidas las regiones opcionales lanzadas después de diciembre de 2022

  • Cifrado del lado del servidor de Amazon S3 con AWS KMS (SSE-) KMS

  • Solicitudes dinámicas (PUT y DELETE) en Amazon S3

Para obtener más información OAC yOAI, consulte Restringir el acceso al origen de Amazon S3.

Para obtener más información sobre cómo proteger y optimizar el rendimiento de las aplicaciones web con Amazon CloudFront, consulta Cómo empezar con Amazon CloudFront.