Cloudfront com loadbalancer elástico sem armazenamento em cache para segurança

1

Eu tenho um domínio na instância ec2 com acesso em tempo real (inserindo novos leads) ao banco de dados remoto. Recentemente, a AWS recomendou o uso de elb + cloud front para segurança.

Is possible to enable cloud front on a domain with real-time access ( inserting new leads)to remote db.

    
por adminz 24.04.2017 / 17:56

1 resposta

4

Tanto o ELB quanto o CloudFront fornecem alguma segurança. Eles previnem contra ataques específicos de camada 3 e camada 7 em virtude de encerrar a conexão, antes de transmiti-la ao seu servidor. Isso inclui DDOS e SlowLoris .

O CloudFront tem a vantagem de ter nós em todo o mundo e grandes quantidades de largura de banda. Isso pode mitigar muitos ataques DDOS simplesmente por causa da escala. O ELB também é escalável com o tráfego, mas não tão rapidamente quanto o CloudFront, já que tem que iniciar ou alocar novos servidores.

O tráfego de entrada é gratuito na AWS. Isso significa que eles absorvem os ataques sem custo para você.

Usar qualquer um desses produtos aumenta sua segurança. Você não precisa usar os dois. Eu sugiro que você use o CloudWatch por enquanto.

Eu apenas configurei o CloudFront para meu servidor EC2, é bastante fácil, mas com algumas gotachas em torno de https. As etapas gerais (incluindo HTTPS) são:

  • Use o gerenciador de certificados da AWS para criar um certificado para seus domínios (incluindo o subdomínio www) na região EUA-EAST-1 (DEVE ser essa região)
  • Configure um novo subdomínio para sua origem. O CloudFront precisa disso. Por exemplo, usei origin.example.com e configurei o Nginx para responder a esse endereço.
  • Configure o CloudFront com essa origem, com seu domínio e subdomínios como alternativos. Configure seus comportamentos cuidadosamente, levando em conta o que deve e não deve ser armazenado em cache. Mesmo que nada seja armazenado em cache, é provável que o seu site seja mais rápido do que se ele passar pela Internet, pois assim que o pedido atingir o CloudFront, ele passará pelo backbone privado da AWS otimizado, não pela Internet pública. Conteúdo dinâmico é bom, basta definir o TTL para 0.
  • Idealmente, configure o Route 53, use registros de alias para apontar para o CloudFront, mova seu DNS e altere-o para ser seu nome de servidor

Se você quiser melhorar cada vez mais sua segurança, use AWS WAF . Ele se integra ao CloudFront. É mais barato do que a maioria dos WAFs, mas você provavelmente gastará poucas dezenas de dólares por mês se for configurado de forma abrangente. Pessoalmente não me incomodo, meu serviço não é crítico.

Se você quiser uma opção ainda mais fácil, use CloudFlare . Isso não faz parte da AWS, mas é super simples de configurar e tem um nível gratuito. Eu uso para a maioria dos meus sites.

    
por 24.04.2017 / 22:16