使用CloudFront作为API网关的前置服务,有助于DDoS攻击的缓解和保护吗?
0
【以下的问题经过翻译处理】 我们的API网关已附加了WAF以进行L7保护,并且我们正在研究进一步加强系统安全的方法。[这篇AWS白皮书建议我们在API网关前使用CloudFront:] (https://docs.aws.amazon.com/whitepapers / latest / security-overview-amazon-api-gateway / security-design-principles.html),我们考虑在API网关前使用CloudFront。
根据白皮书的描述,Amazon CloudFront能够将流量分发到多个边缘位置,并过滤请求,以确保只有有效的请求才会被转发到我们的API网关。我对边缘网络的理解可能有限,所以希望有人可以对这个引用进行扩展,或者提供有关CloudFront如何帮助缓解DDoS攻击的更多信息。
据我所知,CloudFront具备在L3/L4层面上使用Shield进行DDoS缓解和检测的能力。然而,Shield标准服务适用于所有AWS服务,包括API网关在内。我想了解使用CloudFront进行DDoS缓解和保护是否提供了超越Shield的其他优势。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 当您在Amazon CloudFront中使用AWS Shield标准时,您将获得全面的可用性保护,防止所有已知的基础架构(第3层和第4层)攻击。这些服务是AWS全球边缘网络的一部分,可以提高您的应用程序在全球分布的边缘位置上处理各种类型应用程序流量时的DDoS弹性。
使用CloudFront的一些好处包括:
- 通过AWS全球边缘网络访问互联网和DDoS缓解容量。这对于缓解可达到Terabit规模的更大容量攻击非常有帮助。
- AWS Shield DDoS缓解系统与AWS边缘服务集成,将缓解时间从几分钟降至亚秒级。
- 无状态SYN Flood缓解技术代理并验证传入连接,然后将其传递给受保护的服务。这确保只有有效连接才能到达您的应用程序,同时保护您的合法终端用户免受错误的正面丢弃。
- 自动流量工程系统可以分散或隔离大容量DDoS攻击的影响。这些服务将攻击隔离在源头,然后再到达您的资源,这意味着对这些受保护系统的影响较小。
相关内容
AWS 官方已更新 2 年前- AWS 官方已更新 1 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前