Pengiriman aplikasi web di tepi (BP1) - AWS Praktik Terbaik untuk DDoS Ketahanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pengiriman aplikasi web di tepi (BP1)

Amazon CloudFront adalah layanan yang dapat digunakan untuk mengirimkan seluruh situs web Anda termasuk konten statis, dinamis, streaming, dan interaktif. Koneksi persisten dan pengaturan variabel time-to-live (TTL) dapat digunakan untuk menurunkan lalu lintas dari asal Anda, bahkan jika Anda tidak menyajikan konten yang dapat di-cache. Penggunaan CloudFront fitur-fitur ini mengurangi jumlah permintaan dan TCP koneksi kembali ke asal Anda, membantu melindungi aplikasi web Anda dari HTTP banjir.

CloudFront hanya menerima koneksi yang terbentuk dengan baik, yang membantu mencegah banyak DDoS serangan umum, seperti SYN banjir dan serangan UDP refleksi, mencapai asal Anda. DDoSSerangan juga secara geografis terisolasi dekat dengan sumbernya, yang mencegah lalu lintas berdampak pada lokasi lain. Kemampuan ini dapat sangat meningkatkan kemampuan Anda untuk terus melayani lalu lintas ke pengguna selama DDoS serangan besar. Anda dapat menggunakan CloudFront untuk melindungi asal di AWS atau di tempat lain di internet.

Jika Anda menggunakan Amazon Simple Storage Service (Amazon S3) untuk menyajikan konten statis di internet, AWS sarankan Anda menggunakan Amazon CloudFront untuk melindungi bucket Anda dengan memberikan manfaat berikut:

  • Membatasi akses ke bucket Amazon S3 sehingga tidak dapat diakses publik.

  • Memastikan bahwa pemirsa (pengguna) dapat mengakses konten di bucket hanya melalui CloudFront distribusi yang ditentukan—yaitu, mencegah mereka mengakses konten langsung dari bucket, atau melalui distribusi yang tidak diinginkan. CloudFront

Untuk mencapai hal ini, konfigurasikan CloudFront untuk mengirim permintaan yang diautentikasi ke Amazon S3, dan konfigurasikan Amazon S3 agar hanya mengizinkan akses ke permintaan yang diautentikasi dari. CloudFront CloudFront menyediakan dua cara untuk mengirim permintaan yang diautentikasi ke asal Amazon S3: kontrol akses asal OAC () dan identitas OAI akses asal (). Kami merekomendasikan penggunaan OAC karena mendukung:

  • Semua bucket Amazon S3 secara keseluruhan Wilayah AWS, termasuk Wilayah keikutsertaan diluncurkan setelah Desember 2022

  • Enkripsi sisi server Amazon S3 dengan (-) AWS KMS SSE KMS

  • Permintaan dinamis (PUTdanDELETE) ke Amazon S3

Untuk informasi selengkapnya tentang OAC danOAI, lihat Membatasi akses ke asal Amazon S3.

Untuk informasi selengkapnya tentang melindungi dan mengoptimalkan kinerja aplikasi web dengan Amazon CloudFront, lihat Memulai dengan Amazon CloudFront.