Потенциальный злоумышленник не может начать атаку, если он не аутентифицирован.
Это очень сильное предположение. Большинство инцидентов происходит с использованием украденных учетных данных, злоумышленников (злоумышленников) или ошибки приложения
. Кроме того, ваше приложение не находится за Cognito, но оба должны быть доступны для клиентов или опубликованы c inte rnet напрямую.
имеет ли смысл ставить WAF?
WAF частично защищает от DDoS (фильтрация определенных c IP-адресов или регионов) и некоторых других типов атак (sql впрыск, ..).
Каждый дополнительный компонент представляет собой компромиссное решение со сложностью, удобством и ценой. Если это того стоит - это решение, если угрозы или последствия инцидента стоят цены и усилий, чтобы изучить и управлять waf (базовая настройка обеспечивает только базовую защиту, для достижения наилучших результатов вы должны приложить максимум усилий для изучения и управления ваф правила)
Возможно, это не тот ответ, который вы ищете, и вопрос больше подходит для https://security.stackexchange.com/, но это ваше решение