AWS AppSync DDoS защита.Какие есть альтернативы?

Question

Я не видел однозначного ответа в интернете о том, как AppSync может отражать атаки DDoS.Я новичок в этом вопросе, поэтому наберитесь терпения

Наш контекст: мы будем использовать AppSync с AWS Cognito для аутентификации, и он будет использоваться только нами и определенным набором клиентов (поэтому нетпубличный доступ).Вероятно, нам не понадобится собственный домен, поэтому не нужно использовать CloudFront для распространения, но если это будет лучше для нас с точки зрения защиты, мы также можем это сделать.И с другой стороны, я знаю, что адрес конечной точки AppSync генерируется автоматически и, вероятно, трудно угадать кем-то внешним, но я все еще беспокоюсь о том, что он будет доступен для публики, тем более, что, возможно, в какой-то момент мы могли бы захотеть бытьиспользуя конечную точку AppSync непосредственно с нашего сайта, а не из бэкэнда.

Я видел две упомянутые вещи:

1. Нет никакого регулирования, как на шлюзе API (янемного неясно, как работает регулирование и как оно защищает вас, я предполагаю, что для определенных IP-адресов, которые чрезмерно запрашивают вашу конечную точку, наложен жесткий лимит?)

2. Поскольку AppSync является платнымза запрос я видел, что шлюз API не взимает плату, если он защищен AWS Cognito и запросы не прошли аутентификацию (https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-pricing.html).Мне интересно, применяется ли тот же случай к AppSync, поскольку мы будем использовать AWS Cognito.

3. Поскольку речь идет о AWS Cognito, мы хотели бы ограничить доступ к нашей конечной точке.только несколько выберите IP-адреса.Я читал, что AWS Cognito может вносить в белый список диапазон IP-адресов, но может ли он также включать определенные IP-адреса в белый список?(Я думаю, поставив / 32 в конце диапазона IP-адресов?)

4. Как AppSync взаимодействует с AWS Shield и AWS WAF?

Спасибо, и извините за любые глупо выглядящие вопросы.

Answer 1

Я только что ответил на ваш вопрос на форумах: https://forums.aws.amazon.com/thread.jspa?messageID=907577&#907577

Я скопирую / вставлю здесь, но любые последующие действия будут наиболее заметны для команды.

Небольшое замечание, прежде чем я начну отвечать на ваши вопросы - CloudFront в настоящее время является обязательным компонентом AppSync. Это для всех. Он предоставляет вам некоторую защиту от кэширования и DDOS, так что, как вы уже догадались, он имеет некоторое значение безопасности для всех.

1. AppSync не предоставляет настраиваемых управляемых пользователем механизмов регулирования, однако имеет несколько уровней внутреннего регулирования, которые защищают его от многих форм злоупотребления трафиком. Тем не менее, обеспечение клиентов ограничениями регулирования является популярным вопросом клиентов. Можете ли вы помочь нам понять бизнес-требования, которые вы планируете решить с помощью регулирования?

2. AppSync взимает плату за запросы, которые были успешно обработаны AppSync. Ошибка аутентификации / авторизации не считается сценарием, в котором AppSync не удалось обработать запрос.

3. Я считаю, что это возможно. С федеративными удостоверениями Cognito (через IAM): https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html С пользовательскими пулами Cognito: https://aws.amazon.com/blogs/security/how-to-use-new-advanced-security-features-for-amazon-cognito-user-pools/

4. Мы не можем комментировать интеграцию, которую AppSync имеет с другими сервисами AWS. Можете ли вы помочь нам понять бизнес-требования, которые вы планируете решить с помощью этого вопроса?