Protegiendo su origen (BP1,BP5) - AWS Mejores prácticas para la DDoS resiliencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protegiendo su origen (BP1,BP5)

Si utilizas Amazon CloudFront con un origen que está dentro del tuyoVPC, asegúrate de que solo tu CloudFront distribuidor pueda reenviar las solicitudes a tu origen. Con los encabezados de solicitud de extremo a origen, puedes añadir o anular el valor de los encabezados de solicitud existentes al reenviar las solicitudes a tu origen. CloudFront Puedes usar los encabezados personalizados de Origin, por ejemplo, el X-Shared-Secret encabezado, para comprobar desde dónde se enviaron las solicitudes realizadas a tu origen. CloudFront

Para obtener más información sobre cómo proteger tu origen con encabezados personalizados de Origin, consulta Cómo añadir encabezados personalizados a las solicitudes de origen y Restringir el acceso a los balanceadores de carga de aplicaciones.

Para obtener una guía sobre cómo implementar una solución de muestra para rotar automáticamente el valor de los encabezados personalizados de Origin para la restricción de acceso a origen, consulta Cómo mejorar la seguridad de CloudFront origen de Amazon con AWS WAF Secrets Manager.

Como alternativa, puedes usar una AWS Lambdafunción para actualizar automáticamente las reglas de tu grupo de seguridad y permitir solo CloudFront el tráfico. Esto mejora la seguridad de tu sitio de origen, ya que ayuda a garantizar que los usuarios malintencionados no puedan eludir CloudFront tu aplicación web ni AWS WAF acceder a ella.

Para obtener más información sobre cómo proteger tu origen mediante la actualización automática de tus grupos de seguridad y del X-Shared-Secret encabezado, consulta Cómo actualizar automáticamente tus grupos de seguridad para Amazon CloudFront y AWS WAF mediante el uso AWS Lambda.

Sin embargo, la solución implica una configuración adicional y el costo de ejecutar las funciones de Lambda. Para simplificarlo, ahora hemos introducido una lista de AWS prefijos gestionados para limitar el HTTPS tráfico entrante HTTP o que llega CloudFront a sus orígenes únicamente desde las direcciones IP orientadas al CloudFront origen. AWS-Las listas de prefijos gestionadas las crea y mantiene, AWS y están disponibles para su uso sin coste adicional. Puede hacer referencia a la lista de prefijos gestionados CloudFront en las reglas de su grupo de seguridad (AmazonVPC), en las tablas de enrutamiento de subred, en las reglas comunes de los grupos de seguridad y en cualquier otro AWS recurso que pueda utilizar una lista de prefijos gestionada. AWS Firewall Manager

Para obtener más información sobre el uso AWS de la lista de prefijos gestionada por Amazon CloudFront, consulta Limita el acceso a tus orígenes mediante la lista de prefijos AWS gestionada por Amazon. CloudFront

nota

Como se explica en otras secciones de este documento, confiar en los grupos de seguridad para proteger tu origen puede añadir el seguimiento de las conexiones de los grupos de seguridad como un posible cuello de botella durante una avalancha de solicitudes. A menos que seas capaz de filtrar las solicitudes malintencionadas CloudFront con una política de almacenamiento en caché que permita el almacenamiento en caché, puede ser mejor utilizar los encabezados personalizados de Origin, descritos anteriormente, para validar que las solicitudes hechas a tu origen provienen de grupos de CloudFront seguridad. El uso de un encabezado de solicitud personalizado con una regla de escucha de Application Load Balancer evita la limitación debido a los límites de seguimiento que pueden afectar al establecimiento de nuevas conexiones a un balanceador de cargas, lo que permite que Application Load Balancer escale en función del aumento del tráfico en caso de un ataque. DDoS