Protegendo API endpoints () BP4 - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Protegendo API endpoints () BP4

Quando você precisa expor um API ao público, existe o risco de o API front-end ser alvo de um DDoS ataque. Para ajudar a reduzir o risco, você pode usar o Amazon API Gateway como porta de entrada para aplicativos executados na Amazon ou em EC2 outros AWS Lambda lugares. Ao usar o Amazon API Gateway, você não precisa de seus próprios servidores para o API front-end e pode ofuscar outros componentes do seu aplicativo. Ao dificultar a detecção dos componentes do seu aplicativo, você pode ajudar a evitar que esses AWS recursos sejam alvo de um DDoS ataque.

Ao usar o Amazon API Gateway, você pode escolher entre dois tipos de API endpoints. A primeira é a opção padrão: API endpoints otimizados para borda que são acessados por meio de uma distribuição da Amazon. CloudFront No entanto, a distribuição é criada e gerenciada pelo API Gateway, então você não tem controle sobre ela. A segunda opção é usar um API endpoint regional que seja acessado do mesmo Região da AWS em que o seu REST API está implantado. AWS recomenda que você use o segundo tipo de endpoint e o associe à sua própria CloudFront distribuição da Amazon. Isso lhe dá controle sobre a CloudFront distribuição da Amazon e a capacidade de uso AWS WAF para proteção da camada de aplicação. Esse modo fornece acesso à capacidade de DDoS mitigação escalonada em toda a rede de borda AWS global.

Ao usar a Amazon CloudFront e AWS WAF com o Amazon API Gateway, configure as seguintes opções:

  • Configure o comportamento do cache de suas distribuições para encaminhar todos os cabeçalhos para o endpoint regional do API Gateway. Ao fazer isso, CloudFront tratará o conteúdo como dinâmico e ignorará o armazenamento em cache do conteúdo.

  • Proteja seu API Gateway contra acesso direto configurando a distribuição para incluir o cabeçalho personalizado de origem x-api-key, definindo o valor da APIchave no API Gateway.

  • Proteja o back-end do excesso de tráfego configurando limites padrão ou de taxa de intermitência para cada método em seu. REST APIs

Para obter mais informações sobre a criação APIs com o Amazon API Gateway, consulte Amazon API Gateway Getting Started.