Protegendo sua origem (BP1,BP5) - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Protegendo sua origem (BP1,BP5)

Se você estiver usando a Amazon CloudFront com uma origem dentro da suaVPC, convém garantir que somente sua CloudFront distribuição possa encaminhar solicitações para sua origem. Com os cabeçalhos de solicitação Edge-to-Origin, você pode adicionar ou substituir o valor dos cabeçalhos de solicitação existentes ao CloudFront encaminhar solicitações para sua origem. Você pode usar os cabeçalhos personalizados de origem, por exemplo, o X-Shared-Secret cabeçalho, para ajudar a validar se as solicitações feitas à sua origem foram enviadas de. CloudFront

Para obter mais informações sobre como proteger sua origem com cabeçalhos personalizados de origem, consulte Adicionar cabeçalhos personalizados às solicitações de origem e restringir o acesso aos Application Load Balancers.

Para obter um guia sobre a implementação de uma solução de amostra para alternar automaticamente o valor dos cabeçalhos personalizados de origem para a restrição de acesso à origem, consulte Como aprimorar a segurança de CloudFront origem da Amazon com o Secrets AWS WAF Manager.

Como alternativa, você pode usar uma AWS Lambdafunção para atualizar automaticamente as regras do seu grupo de segurança para permitir somente CloudFront tráfego. Isso melhora a segurança de sua origem, ajudando a garantir que usuários mal-intencionados não possam contornar CloudFront e AWS WAF acessar seu aplicativo web.

Para obter mais informações sobre como proteger sua origem atualizando automaticamente seus grupos de segurança e o X-Shared-Secret cabeçalho, consulte Como atualizar automaticamente seus grupos de segurança para a Amazon CloudFront e AWS WAF usando AWS Lambda.

No entanto, a solução envolve configuração adicional e o custo de execução das funções Lambda. Para simplificar isso, agora introduzimos uma lista AWS de prefixos gerenciada para CloudFront limitar o HTTPS tráfego de HTTP entrada/às suas origens a partir apenas dos endereços IP voltados para a CloudFront origem. AWS-as listas de prefixos gerenciadas são criadas e mantidas por AWS e estão disponíveis para uso sem custo adicional. Você pode referenciar a lista de prefixos gerenciados CloudFront em suas regras de grupo de segurança (AmazonVPC), tabelas de rotas de sub-rede, regras comuns de grupos de segurança com AWS Firewall Manager e quaisquer outros AWS recursos que possam usar uma lista de prefixos gerenciados.

Para obter mais informações sobre o uso da lista AWS de prefixos gerenciada para a Amazon CloudFront, consulte Limitar o acesso às suas origens usando a lista de prefixos AWS gerenciada para a Amazon. CloudFront

nota

Conforme discutido em outras seções deste documento, confiar em grupos de segurança para proteger sua origem pode adicionar o rastreamento de conexões de grupos de segurança como um possível gargalo durante uma inundação de solicitações. A menos que você consiga filtrar solicitações maliciosas CloudFront usando uma política de armazenamento em cache que permita o armazenamento em cache, talvez seja melhor confiar nos cabeçalhos personalizados de origem, discutidos anteriormente, para ajudar a validar se as solicitações feitas à sua origem foram enviadas de CloudFront, em vez de usar grupos de segurança. O uso de um cabeçalho de solicitação personalizado com uma regra de ouvinte do Application Load Balancer evita a limitação devido aos limites de rastreamento que podem afetar o estabelecimento de novas conexões com um balanceador de carga, permitindo que o Application Load Balancer escale com base no aumento do tráfego em caso de ataque. DDoS