Melindungi asal Anda (BP1,BP5) - AWS Praktik Terbaik untuk DDoS Ketahanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melindungi asal Anda (BP1,BP5)

Jika Anda menggunakan Amazon CloudFront dengan asal yang ada di dalam AndaVPC, Anda mungkin ingin memastikan bahwa hanya CloudFront distribusi Anda yang dapat meneruskan permintaan ke asal Anda. Dengan Header Permintaan Edge-to-Origin, Anda dapat menambahkan atau mengganti nilai header permintaan yang ada saat CloudFront meneruskan permintaan ke asal Anda. Anda dapat menggunakan Header Kustom Asal, misalnya, X-Shared-Secret header, untuk membantu memvalidasi bahwa permintaan yang dibuat ke asal Anda dikirim. CloudFront

Untuk informasi selengkapnya tentang melindungi asal Anda dengan Header Kustom Asal, lihat Menambahkan header khusus ke permintaan asal dan Membatasi akses ke Application Load Balancers.

Untuk panduan tentang penerapan solusi sampel untuk secara otomatis memutar nilai Header Kustom Asal untuk pembatasan akses asal, lihat Cara meningkatkan keamanan CloudFront asal Amazon dengan AWS WAF dan Secrets Manager.

Atau, Anda dapat menggunakan AWS Lambdafungsi untuk memperbarui aturan grup keamanan secara otomatis agar hanya mengizinkan CloudFront lalu lintas. Ini meningkatkan keamanan asal Anda dengan membantu memastikan bahwa pengguna jahat tidak dapat melewati CloudFront dan AWS WAF saat mengakses aplikasi web Anda.

Untuk informasi selengkapnya tentang cara melindungi asal Anda dengan memperbarui grup keamanan secara otomatis, dan X-Shared-Secret tajuknya, lihat Cara Memperbarui Grup Keamanan Anda secara Otomatis untuk Amazon CloudFront dan AWS WAF Menggunakan AWS Lambda.

Namun, solusinya melibatkan konfigurasi tambahan dan biaya menjalankan fungsi Lambda. Untuk menyederhanakan ini, kami sekarang telah memperkenalkan daftar awalan AWS-managed untuk membatasi inboundHTTP/HTTPStraffic CloudFront ke asal Anda hanya dari alamat IP yang menghadap asal. CloudFront AWS Daftar awalan yang dikelola dibuat dan dikelola oleh AWS dan tersedia untuk digunakan tanpa biaya tambahan. Anda dapat mereferensikan daftar awalan terkelola CloudFront dalam aturan grup keamanan (AmazonVPC), tabel rute subnet, aturan grup keamanan umum dengan AWS Firewall Manager, dan AWS sumber daya lain yang dapat menggunakan daftar awalan terkelola.

Untuk informasi selengkapnya tentang menggunakan daftar awalan AWS-managed untuk Amazon CloudFront, lihat Batasi akses ke asal Anda menggunakan daftar awalan AWS-managed untuk Amazon. CloudFront

catatan

Seperti yang dibahas di bagian lain dari dokumen ini, mengandalkan kelompok keamanan untuk melindungi asal Anda dapat menambahkan pelacakan koneksi grup keamanan sebagai potensi bottle-neck selama permintaan banjir. Kecuali Anda dapat memfilter permintaan berbahaya saat CloudFront menggunakan kebijakan caching yang memungkinkan caching, mungkin lebih baik mengandalkan Header Kustom Asal, yang dibahas sebelumnya, untuk membantu memvalidasi bahwa permintaan yang dibuat ke asal Anda dikirim CloudFront, daripada menggunakan grup keamanan. Menggunakan header permintaan kustom dengan aturan pendengar Application Load Balancer mencegah pembatasan karena batas pelacakan yang dapat memengaruhi pembuatan koneksi baru ke penyeimbang beban, sehingga memungkinkan Application Load Balancer untuk menskalakan berdasarkan peningkatan lalu lintas jika terjadi serangan. DDoS