Há necessidade de WAF em frente a um site estático com a API REST?

4

Eu tenho dois webistes

  1. www.mysite.com. -->hosted on s3 , veiculado por meio do aplicativo de página única estática da Cloudfront

  2. Então eu tenho api.mysite.com , que o front end usa.

Minha empresa está usando WAF solution de terceiros e os atuais aplicativos de monólito são protegidos por ela.

Para o novo site, coloquei api.mysite.com por trás do WAF, mas não tenho certeza se preciso colocar o site estático atrás do WAF ou não?

Isso se refere principalmente à prevenção do site contra ataques DDOS ou bots, etc., já tivemos muitos ataques antes, então quero ter certeza de que faço a coisa da maneira certa.

    
por Master 05.11.2018 / 00:06

1 resposta

5

Embora o WAF seja usado principalmente para proteger sites, formulários, APIs ativos etc., às vezes também é necessário usar o WAF na frente do conteúdo público estático.

Por exemplo: Como impedir o hotlink usando o AWS WAF, o Amazon CloudFront e a verificação de referências

Outro exemplo pode ser se parte do seu conteúdo estático não é totalmente público (por exemplo, confiar em nomes de arquivos aleatórios complexos - não que isso ofereça uma grande segurança) e você deseja limitar as tentativas de acesso de força bruta - é aí que o WAF pode ajudar também.

Portanto, a resposta à sua pergunta é: Sim, às vezes o WAF pode ser usado para conteúdo estático . No entanto, estes são casos de uso bastante específicos e se é ou não relevante para o seu site, não posso dizer.

Por outro lado, mesmo se você iniciar sem WAF e mais tarde descobrir que algo acontece ao seu conteúdo estático que pode ser resolvido com o WAF, você pode ativar em seguida. Não é necessariamente uma decisão que você precisa tomar no começo.

Espero que ajude:)

    
por 05.11.2018 / 00:55