protegendo a AWS contra acessos massivos

0

Eu tenho uma instância do Linux da máquina da AWS t2.micro, com 2 milhões de E / Ss.

Se eu entendi corretamente (me avise se eu não o fizesse), 2 milhões de E / Ss significam que o serviço gratuito permite que você atenda 2 milhões ìndex.php .

Minha pergunta é como proteger meu servidor para evitar acessos e solicitações em massa.

Obrigado por conselhos.

    
por DevStarlight 25.01.2015 / 02:34

1 resposta

0

Primeiro, vamos ver a explicação da AWS para o que você está referenciando aqui:

link

30 GB of Amazon Elastic Block Storage in any combination of General Purpose (SSD) or Magnetic, plus 2 million I/Os (with Magnetic) and 1 GB of snapshot storage

Essas entradas / saídas são para acesso direto ao disco e como o seu arquivo index.php será armazenado em cache e carregado na memória, dependendo do que seu arquivo index.php estiver fazendo, é improvável que tenha um impacto em sua E / S .

Uma forma de testar e monitorar sua preocupação com um aumento súbito de acessos e solicitações é executar o popular utilitário Bees with Machine Guns ( link ) em seu aplicativo da web e monitore o impacto no CloudWatch. O CloudWatch, por padrão, monitora em incrementos de 5 minutos, portanto seja paciente; Se você alterar o CloudWatch para monitorar em intervalos de 1 minuto, será cobrado um valor extra, portanto, tenha cuidado. Observe que, como você basicamente estará executando um ataque de negação de serviço em sua instância, precisará obter permissão da AWS para executar o teste antecipadamente ou corre o risco de ter sua conta da AWS suspensa. ( link )

Acho que a maneira mais fácil e provavelmente mais barata de proteger seu servidor contra picos indesejados no tráfego ou um ataque DDoS (Disused Distributed Service) completo seria usar um serviço gerenciado como o CloudFlare.com. É claro que você pode usar um dispositivo de segurança como o Sophos UTM 9 ou o Imperva, mas você precisará saber como configurá-lo e mantê-lo, além de custos extras por hora e licenciamento.

A AWS anunciou recentemente o AWS WAF (Web Application Firewall), mas parece que você precisa associá-lo ao CloudFront. ( link )

Se você não quiser usar nenhuma outra ferramenta, terá de monitorar consistentemente seu aplicativo da Web e bloquear solicitações indesejadas quando elas vierem usando Virtual Private Network (VPC) e Network Access Controls (NACLs) em suas sub-redes VPC. Embora isso funcione, você pode se deparar com o "whack-a-mole" se o seu site for atacado com frequência.

Finalmente, a melhor maneira de proteger seu site é usar várias camadas de segurança (AKA Defence in Depth). Se você não tiver certeza de como fazer isso, recomendo pegar uma xícara de café (ou duas) e começar a aprender OWASP (o projeto de segurança de aplicativos da Web abertos). (www.owasp.org)

    
por 30.10.2015 / 13:41