Может ли CloudFront защитить сервер EC2 от DDOS?

Question

Я поддерживаю встроенную базу данных для веб-приложения на экземпляре EC2. Поскольку этот центральный сервер является однопоточным, он очень чувствителен к DDOS (даже нераспределенная атака может нанести ему вред).

AWS имеет защиту DDOS для своего CDN CloudFront, поэтому мне интересно, могу ли я использовать CloudFront в качестве слоя косвенности вокруг моего экземпляра EC2 для защиты DDOS.

Проблема состоит в том, чтобы выяснить, как эффективно предотвратить обход пользователей CloudFront и непосредственное попадание на сервер. Мои вопросы:

• Смогут ли пользователи отслеживать сетевой путь, чтобы получить IP-адрес моего экземпляра EC2, или они смогут видеть только URL-адрес API для Cloudfront?
• Есть ли способ предотвратить попадание трафика в мой экземпляр EC2, если он не прошел через Cloudfront? Я вижу, что есть возможность отправить собственный заголовок источника из Cloudfront, но это не решает проблему - мне все равно придется обрабатывать каждый запрос в моем экземпляре EC2. Есть ли способ настроить правила ввода для моего сервера, которые мешают ему обрабатывать запросы не Cloudfront?

Я новичок в размышлениях о сетевой архитектуре и безопасности, поэтому любые советы приветствуются!

Answer 1

AWS Shield Standard автоматически и прозрачно включается в дистрибутивы Amazon CloudFront, обеспечивая

• Активный мониторинг трафика с мониторингом сетевого потока и автоматическим постоянным обнаружением.
• Снижение атак с защитой от распространенных DDoS-атак (например, SYN-наводнения, ACK-наводнения, UDP-потоки, отражения), Автоматическое встроенное смягчение, и вы можете использовать AWS WAF совместно для смягчения атак уровня 7.

Чтобы пользователи не могли обойти CloudFront и получить прямой доступ к вашему экземпляру EC2, вы можете использовать группы безопасности, включающие в белый список список IP-адресов AWS CloudFront. Поскольку этот список может измениться, вы можете настроить функцию Lambda для ее автоматического обновления после того, как AWS изменит IP CloudFront. Дополнительную информацию см. В статье Как автоматически обновлять группы безопасности для Amazon CloudFront и AWS WAF с помощью AWS Lambda .

.

Если вы используете Application Load Balancer, вы можете добавить в белый список заголовок и добавить его в источник CloudFront, чтобы запросы принимались только при наличии заголовка. (Это также может быть добавлено в белый список заголовков веб-сервера, но тогда HTTP-запросы будут отклоняться только на уровне веб-сервера, как вы четко указали).

Кроме того, вы можете включить конфигурацию AWS WAF (в ALB или CloudFront, в зависимости от того, что вы используете в качестве внешнего интерфейса) с ограничение скорости , чтобы предотвратить любые злоупотребления, которые просты в настройке и являются экономически эффективными.