CloudFront 可以保护 EC2 服务器免受 DDOS 攻击吗?
Can CloudFront protect EC2 server from DDOS?
我正在为 EC2 实例上的 Web 应用程序维护一个嵌入式数据库。由于这个中央服务器是 single-threaded,它很容易受到 DDOS 攻击(即使是 non-distributed 攻击也会使其瘫痪)。
AWS 为其 CDN CloudFront 提供了 DDOS 保护,所以我想知道我是否可以使用 CloudFront 作为我的 EC2 实例周围的一个间接层以实现 DDOS 保护。
问题是如何有效地防止用户绕过 CloudFront 直接访问服务器。我的问题:
- 用户是否能够跟踪网络路径以获取我的 EC2 实例的 IP,或者他们只能看到 Cloudfront 的 API url?
- 如果流量不是通过 Cloudfront 来的,有没有办法阻止它到达我的 EC2 实例?我看到有一个选项可以从 Cloudfront 发送自定义来源 header,但这并不能解决问题——我仍然必须在我的 EC2 实例中处理每个请求。有没有办法为我的服务器配置输入规则,以防止它处理非 Cloudfront 请求?
我不熟悉网络架构和安全性,因此非常感谢任何和所有建议!
AWS Shield Standard 自动且透明地包含在 Amazon CloudFront 分发中,提供,
- 具有网络流量监控和自动 always-on 检测功能的主动流量监控。
- 攻击缓解,防止常见 DDoS 攻击(例如 SYN 泛洪、ACK 泛洪、UDP 泛洪、反射攻击),自动内联缓解,您可以结合使用 AWS WAF 来缓解第 7 层攻击。
为防止用户绕过 CloudFront 直接访问您的 EC2 实例,您可以使用安全组将 AWS CloudFront IP 地址列表列入白名单。由于此列表可能会更改,您可以设置 Lambda 函数以在 AWS 更改 CloudFront IP 后自动更新它。有关此的更多信息,请参阅文章 How to Automatically Update Your Security Groups for Amazon CloudFront and AWS WAF by Using AWS Lambda.
如果您使用的是 Application Load Balancer,则可以将 header 列入白名单并将其添加到 CloudFront 源,以便仅在存在 header 时才接受请求。 (这也可以添加到 Web 服务器 header 白名单中,但 HTTP 请求将仅在您明确标识的 Web 服务器级别被拒绝)。
此外,您可以包含 AWS WAF 配置(在 ALB 或 CloudFront,无论您用作外部接口),rate limiting 以防止任何易于设置的滥用和 cost-effective。
我正在为 EC2 实例上的 Web 应用程序维护一个嵌入式数据库。由于这个中央服务器是 single-threaded,它很容易受到 DDOS 攻击(即使是 non-distributed 攻击也会使其瘫痪)。
AWS 为其 CDN CloudFront 提供了 DDOS 保护,所以我想知道我是否可以使用 CloudFront 作为我的 EC2 实例周围的一个间接层以实现 DDOS 保护。
问题是如何有效地防止用户绕过 CloudFront 直接访问服务器。我的问题:
- 用户是否能够跟踪网络路径以获取我的 EC2 实例的 IP,或者他们只能看到 Cloudfront 的 API url?
- 如果流量不是通过 Cloudfront 来的,有没有办法阻止它到达我的 EC2 实例?我看到有一个选项可以从 Cloudfront 发送自定义来源 header,但这并不能解决问题——我仍然必须在我的 EC2 实例中处理每个请求。有没有办法为我的服务器配置输入规则,以防止它处理非 Cloudfront 请求?
我不熟悉网络架构和安全性,因此非常感谢任何和所有建议!
AWS Shield Standard 自动且透明地包含在 Amazon CloudFront 分发中,提供,
- 具有网络流量监控和自动 always-on 检测功能的主动流量监控。
- 攻击缓解,防止常见 DDoS 攻击(例如 SYN 泛洪、ACK 泛洪、UDP 泛洪、反射攻击),自动内联缓解,您可以结合使用 AWS WAF 来缓解第 7 层攻击。
为防止用户绕过 CloudFront 直接访问您的 EC2 实例,您可以使用安全组将 AWS CloudFront IP 地址列表列入白名单。由于此列表可能会更改,您可以设置 Lambda 函数以在 AWS 更改 CloudFront IP 后自动更新它。有关此的更多信息,请参阅文章 How to Automatically Update Your Security Groups for Amazon CloudFront and AWS WAF by Using AWS Lambda.
如果您使用的是 Application Load Balancer,则可以将 header 列入白名单并将其添加到 CloudFront 源,以便仅在存在 header 时才接受请求。 (这也可以添加到 Web 服务器 header 白名单中,但 HTTP 请求将仅在您明确标识的 Web 服务器级别被拒绝)。
此外,您可以包含 AWS WAF 配置(在 ALB 或 CloudFront,无论您用作外部接口),rate limiting 以防止任何易于设置的滥用和 cost-effective。