Уязвимы ли сегменты s3 веб-сайта publi c для DDoS-атак?

Question

Мы пытаемся сделать наше веб-приложение максимально рентабельным и безопасным. По этой причине мы используем Clodflare вместо ClodFront в качестве CDN для четырех наших внешних ресурсов, но помещаем CloudFront между Cloudflare и S3, чтобы иметь возможность использовать Полный SSL (строгий), который необходим, потому что у нас есть поддомен для API Gateway, который нужен, чтобы избежать бесконечных циклов, генерируемых при использовании Cloudflare Flexibe SSL

Проблема в том, что AWS документация по подключению S3 к CloudFront для хостинга веб-сайтов инструктирует разрешить publi c доступ к содержимому корзины ( 1 ), а Cloudflare рекомендует ограничить доступ к IP-адресам серверов Cloudflare, чтобы запретить запросы publi c к корзинам веб-сайта ( 2 , 3 )

В частности, мы хотим иметь возможность эффективно использовать бесплатную защиту от DDoS-атак Cloudflare, избегая потенциально высоких затрат, связанных с получением DDoS-атак непосредственно на наши AWS развернутые ресурсы , а также необходимость использования других несвободных services as AWS WAF

Итак, мой вопрос: учитывая архитектуру, использующую Cloudflare, CloudFront и сегмент веб-сайта S3 с политикой сегмента доступа publi c, существует ли уязвимость DDoS, особенно в отношении CloudFront и S3 не защищен должным образом Cloudflare?

Answer 1

Похоже, вы хотите sh ограничить доступ к корзине Amazon S3, чтобы доступ был доступен только через CloudFront.

Это можно сделать, создав удостоверение доступа Origin для распространения CloudFront, а затем ссылку на этот идентификатор в политике Bucket корзины Amazon S3.

См .: Ограничение доступа к контенту Amazon S3 с помощью идентификатора Origin Access - Amazon CloudFront

Таким образом, корзина будет не publi c.

Однако можно будет получить доступ к корзине, перейдя в CloudFront (без предварительного перехода через Cloudflare), но я полагаю, что вы не будете публиковать URL-адрес CloudFront, поэтому это вряд ли произойдет.