AWS AppSync DDoS 保护。有哪些选择?
AWS AppSync DDoS protection. What are the alternatives?
我尚未在 Internet 上看到有关 AppSync 如何转移 DDoS 攻击的明确答案。我是新手,请耐心等待
我们的背景:我们将使用 AppSync 和 AWS Cognito 进行身份验证,它只会由我们和特定的一组客户端使用(因此没有 public 访问权限)。我们可能不需要自定义域,因此不需要使用 CloudFront 进行分发,但如果从保护的角度来看这对我们更好,我们也可以这样做。另一方面,我知道 AppSync 的端点地址是自动生成的,可能很难被外部人员猜测,但我仍然担心 public 可以访问它,特别是因为也许在某些时候我们可能希望直接从我们的站点而不是从后端使用 AppSync 端点。
我看到提到了两件事:
没有像 API 网关那样的节流(我不太清楚节流是如何工作的以及它如何保护你,我假设对某些人施加了硬上限过度请求您的端点的 IP?)
由于 AppSync 按请求付费,我看到如果 API 网关受 AWS Cognito 保护且请求未通过身份验证 (https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-pricing.html),则网关不收费。我想知道同样的情况是否适用于 AppSync,因为我们也将使用 AWS Cognito。
由于我们在谈论 AWS Cognito,我们希望将对端点的访问限制为仅几个 select IP 地址。我读过 AWS Cognito 可以将 IP 范围列入白名单,但它也可以将特定 IP 地址列入白名单吗? (我想将 /32 放在 IP 范围的末尾?)
AppSync 与 AWS Shield 和 AWS WAF 的交互是什么?
谢谢,对于任何看似愚蠢的问题,我们深表歉意。
我刚刚在论坛上回答了你的问题:https://forums.aws.amazon.com/thread.jspa?messageID=907577󝤹
我会 copy/paste 在这里,但是你可能有的任何 follow-up 对那里的团队来说都是最明显的。
在回答您的问题之前的简短说明 - CloudFront 目前是 AppSync 的一个强制性部分。它适合每个人。它确实为您提供了一些缓存和 DDOS 保护,因此正如您所猜测的,它确实对所有人都有一定的安全价值。
AppSync 不公开自定义 customer-controlled 节流机制,但它确实有多层内部节流保护它免受多种形式的滥用流量。也就是说,为客户提供节流限制是一个很受欢迎的客户要求。您能否帮助我们了解您计划通过节流解决的业务需求?
AppSync 对 AppSync 成功处理的请求收费。 authentication/authorization 错误不被视为 AppSync 无法处理请求的情况。
我相信这应该是可能的。
使用 Cognito 联合身份(通过 IAM):https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
使用 Cognito 用户池:https://aws.amazon.com/blogs/security/how-to-use-new-advanced-security-features-for-amazon-cognito-user-pools/
我们无法评论 AppSync 与其他 AWS 服务的集成。您能否帮助我们了解您计划通过这个问题解决的业务需求?
我尚未在 Internet 上看到有关 AppSync 如何转移 DDoS 攻击的明确答案。我是新手,请耐心等待
我们的背景:我们将使用 AppSync 和 AWS Cognito 进行身份验证,它只会由我们和特定的一组客户端使用(因此没有 public 访问权限)。我们可能不需要自定义域,因此不需要使用 CloudFront 进行分发,但如果从保护的角度来看这对我们更好,我们也可以这样做。另一方面,我知道 AppSync 的端点地址是自动生成的,可能很难被外部人员猜测,但我仍然担心 public 可以访问它,特别是因为也许在某些时候我们可能希望直接从我们的站点而不是从后端使用 AppSync 端点。
我看到提到了两件事:
没有像 API 网关那样的节流(我不太清楚节流是如何工作的以及它如何保护你,我假设对某些人施加了硬上限过度请求您的端点的 IP?)
由于 AppSync 按请求付费,我看到如果 API 网关受 AWS Cognito 保护且请求未通过身份验证 (https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-pricing.html),则网关不收费。我想知道同样的情况是否适用于 AppSync,因为我们也将使用 AWS Cognito。
由于我们在谈论 AWS Cognito,我们希望将对端点的访问限制为仅几个 select IP 地址。我读过 AWS Cognito 可以将 IP 范围列入白名单,但它也可以将特定 IP 地址列入白名单吗? (我想将 /32 放在 IP 范围的末尾?)
AppSync 与 AWS Shield 和 AWS WAF 的交互是什么?
谢谢,对于任何看似愚蠢的问题,我们深表歉意。
我刚刚在论坛上回答了你的问题:https://forums.aws.amazon.com/thread.jspa?messageID=907577󝤹
我会 copy/paste 在这里,但是你可能有的任何 follow-up 对那里的团队来说都是最明显的。
在回答您的问题之前的简短说明 - CloudFront 目前是 AppSync 的一个强制性部分。它适合每个人。它确实为您提供了一些缓存和 DDOS 保护,因此正如您所猜测的,它确实对所有人都有一定的安全价值。
AppSync 不公开自定义 customer-controlled 节流机制,但它确实有多层内部节流保护它免受多种形式的滥用流量。也就是说,为客户提供节流限制是一个很受欢迎的客户要求。您能否帮助我们了解您计划通过节流解决的业务需求?
AppSync 对 AppSync 成功处理的请求收费。 authentication/authorization 错误不被视为 AppSync 无法处理请求的情况。
我相信这应该是可能的。 使用 Cognito 联合身份(通过 IAM):https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html 使用 Cognito 用户池:https://aws.amazon.com/blogs/security/how-to-use-new-advanced-security-features-for-amazon-cognito-user-pools/
我们无法评论 AppSync 与其他 AWS 服务的集成。您能否帮助我们了解您计划通过这个问题解决的业务需求?