保护你的起源 (BP1,BP5) - AWS DDoS弹性最佳实践

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

保护你的起源 (BP1,BP5)

如果您使用亚马逊 CloudFront 的来源位于您的内部VPC,则可能需要确保只有您的 CloudFront 配送才能将请求转发到您的来源。借助 Edge-to-Origin 请求标头,在将请求 CloudFront 转发到您的源时,您可以添加或覆盖现有请求标头的值。您可以使用 Origin Custom Headers(例如X-Shared-Secret标头)来帮助验证向您的源发出的请求是否来自发送 CloudFront。

有关使用 Origin 自定义标头保护您的源的更多信息,请参阅向源请求添加自定义标头和限制对应用程序负载均衡器的访问

有关实施示例解决方案以自动轮换源访问限制的 Origin 自定义标头值的指南,请参阅如何使用 AWS WAF 和 Secrets Manager 增强亚马逊 CloudFront 源安全性

或者,您可以使用AWS Lambda功能自动更新您的安全组规则,使其仅允许 CloudFront 流量。这有助于确保恶意用户无法绕过 CloudFront 和 AWS WAF 访问您的 Web 应用程序,从而提高源站的安全性。

有关如何通过自动更新您的安全组以及X-Shared-Secret标题来保护您的来源的更多信息,请参阅如何自动更新您的亚马逊安全组 CloudFront 和 AWS WAF 使用 AWS Lambda

但是,该解决方案涉及额外的配置和运行 Lambda 函数的成本。为了简化这一点,我们现在引入了AWS托管前缀列表,用于 CloudFront限制仅从 CloudFront面向源的 IP HTTPS 地址发送到您的来源的入站 HTTP /流量。 AWS-managed 前缀列表由创建 AWS 和维护,无需支付额外费用即可使用。您可以在您的 (AmazonVPC) 安全组规则、子网路由表、常用安全组规则以及任何其他可以使用托管前缀列表的 AWS 资源中引用托管前缀列表。 CloudFront AWS Firewall Manager

有关使用亚马逊 AWS托管前缀列表的更多信息 CloudFront,请参阅使用亚马逊托 AWS管前缀列表限制对您的来源的访问权限。 CloudFront

注意

如本文档其他部分所述,在请求泛滥期间,依靠安全组来保护您的来源可能会将安全组连接跟踪作为潜在的瓶颈。除非您能够 CloudFront 使用启用缓存的缓存策略来过滤恶意请求,否则最好依靠前面讨论的 O rigin Custom Headers 来帮助验证向您的源发出的请求是否来自安全组 CloudFront,而不是使用安全组。将自定义请求标头与 Application Load Balancer 侦听器规则一起使用可防止由于跟踪限制而导致的限制,这可能会影响与负载均衡器建立新连接,从而允许应用程序负载均衡器在发生攻击时根据流量的增加进行扩展。DDoS