Entrega de aplicativos web na borda (BP1) - AWS Melhores práticas para DDoS resiliência

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Entrega de aplicativos web na borda (BP1)

CloudFront A Amazon é um serviço que pode ser usado para fornecer todo o seu site, incluindo conteúdo estático, dinâmico, de streaming e interativo. Conexões persistentes e configurações de variable time-to-live (TTL) podem ser usadas para descarregar o tráfego de sua origem, mesmo se você não estiver veiculando conteúdo armazenável em cache. O uso desses CloudFront recursos reduz o número de solicitações e TCP conexões de volta à sua origem, ajudando a proteger seu aplicativo web contra HTTP inundações.

CloudFront só aceita conexões bem formadas, o que ajuda a evitar que muitos DDoS ataques comuns, como SYN inundações e ataques de UDP reflexão, cheguem à sua origem. DDoSos ataques também são isolados geograficamente perto da origem, o que evita que o tráfego impacte outros locais. Esses recursos podem melhorar muito sua capacidade de continuar fornecendo tráfego aos usuários durante grandes DDoS ataques. Você pode usar CloudFront para proteger uma origem na Internet AWS ou em outro lugar.

Se você estiver usando o Amazon Simple Storage Service (Amazon S3) para veicular conteúdo estático na Internet, AWS recomenda que você use CloudFront a Amazon para proteger seu bucket, oferecendo os seguintes benefícios:

  • Restringe o acesso ao bucket do Amazon S3 para que ele não seja acessível publicamente.

  • Garante que os espectadores (usuários) possam acessar o conteúdo no bucket somente por meio da CloudFront distribuição especificada, ou seja, impede que eles acessem o conteúdo diretamente do bucket ou por meio de uma distribuição não intencional. CloudFront

Para conseguir isso, configure CloudFront para enviar solicitações autenticadas para o Amazon S3 e configure o Amazon S3 para permitir acesso somente às solicitações autenticadas do. CloudFront CloudFront fornece duas maneiras de enviar solicitações autenticadas para uma origem do Amazon S3: controle de acesso de origem OAC () e identidade OAI de acesso de origem (). Recomendamos o uso OAC porque ele suporta:

  • Ao todo, todos os buckets do Amazon S3 Regiões da AWS, incluindo regiões opcionais lançadas após dezembro de 2022

  • Criptografia do lado do servidor Amazon S3 com (-) AWS KMS SSE KMS

  • Solicitações dinâmicas (PUT e DELETE) para o Amazon S3

Para obter mais informações sobre OAC eOAI, consulte Restringir o acesso à origem do Amazon S3.

Para obter mais informações sobre como proteger e otimizar o desempenho de aplicativos web com a Amazon CloudFront, consulte Getting Started with Amazon CloudFront.