如何通过直接访问 Elastic Beanstalk 实例来阻止 AWS WAF 被绕过
How to stop AWS WAF being bypassed by accessing Elastic Beanstalk instance directly
我目前在 VPC 中有一个 Elastic Beanstalk Web 应用程序,我想将其放在 WAF 后面。为了做到这一点,我添加了 CloudFront 和 WAF 查看它。为了安全起见,我只允许从 AWS CloudFront IP 地址访问 Elastic Beanstalk 应用程序,这是我使用安全组完成的(当这些 IP 地址更改时自动更新)。
但是,如何阻止其他人将我的 EB 应用程序网址添加到他们自己的 CloudFront 实例,这是否会绕过我对 VPC 安全组的 IP 地址限制并让他们无需通过我的 WAF 即可访问?
我认为在您的 CloudFront 分配 (http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html) 中添加一些秘密自定义 header,并让您的来源检查是否存在 header。这将确保只有您的分发才能从您的原始服务器获取数据。
我目前在 VPC 中有一个 Elastic Beanstalk Web 应用程序,我想将其放在 WAF 后面。为了做到这一点,我添加了 CloudFront 和 WAF 查看它。为了安全起见,我只允许从 AWS CloudFront IP 地址访问 Elastic Beanstalk 应用程序,这是我使用安全组完成的(当这些 IP 地址更改时自动更新)。
但是,如何阻止其他人将我的 EB 应用程序网址添加到他们自己的 CloudFront 实例,这是否会绕过我对 VPC 安全组的 IP 地址限制并让他们无需通过我的 WAF 即可访问?
我认为在您的 CloudFront 分配 (http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html) 中添加一些秘密自定义 header,并让您的来源检查是否存在 header。这将确保只有您的分发才能从您的原始服务器获取数据。