Защита от DDoS-атак AWS AppSync. Какие есть альтернативы?
Я не видел в Интернете однозначного ответа о том, как AppSync может отражать DDoS-атаки. Я новичок в этом деле, так что наберитесь терпения
Наш контекст: мы будем использовать AppSync с AWS Cognito для аутентификации, и он будет использоваться только нами и определенным набором клиентов (поэтому без публичного доступа). Нам, вероятно, не понадобится собственный домен, поэтому нет необходимости использовать CloudFront для распространения, но если это лучше для нас с точки зрения защиты, мы также можем сделать это. И, с другой стороны, я знаю, что адрес конечной точки AppSync генерируется автоматически и, вероятно, его трудно угадать кем-то извне, но я все еще беспокоюсь о том, что он доступен для публики, тем более что, возможно, в какой-то момент мы могли бы захотеть быть используя конечную точку AppSync непосредственно с нашего сайта, а не из серверной части.
Я видел две упомянутые вещи:
Нет дросселирования, как на шлюзе API (я немного не понимаю, как работает дросселирование и как оно защищает вас, я предполагаю, что для определенных IP-адресов, которые чрезмерно запрашивают вашу конечную точку, установлено жесткое ограничение?)
Поскольку AppSync оплачивается по запросу, я видел, что шлюз API не взимает плату, если он защищен AWS Cognito и запросы не прошли аутентификацию ( https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-pricing.html ). Мне интересно, применим ли тот же случай к AppSync, поскольку мы также будем использовать AWS Cognito.
Поскольку мы говорим об AWS Cognito, мы хотели бы ограничить доступ к нашей конечной точке только несколькими выбранными IP-адресами. Я читал, что AWS Cognito может внести в белый список диапазон IP-адресов, но может ли он также внести в белый список определенные IP-адреса? (Я думаю, поставив /32 в конце диапазона IP-адресов?)
Как AppSync взаимодействует с AWS Shield и AWS WAF?
Спасибо, и извините за глупо выглядящие вопросы.
Ответы 1
Я только что ответил на ваш вопрос на форуме: https://forums.aws.amazon.com/thread.jspa?messageID=907577󝤹
Я скопирую/вставлю сюда, но любые дальнейшие действия, которые у вас могут быть, будут наиболее заметны для команды там.
Небольшое примечание, прежде чем я перейду к вашим вопросам: CloudFront в настоящее время является обязательной частью AppSync. Он доступен для всех. Он предоставляет вам некоторое кэширование и защиту от DDOS, поэтому, как вы уже догадались, он имеет некоторую ценность для безопасности для всех.
AppSync не предоставляет настраиваемых, контролируемых пользователем механизмов регулирования, однако имеет несколько уровней внутреннего регулирования, которые защищают его от многих форм неправомерного трафика. Тем не менее, предоставление клиентам лимитов регулирования является популярным запросом клиентов. Можете ли вы помочь нам понять бизнес-требования, которые вы планируете удовлетворить с помощью регулирования?
AppSync взимает плату за запросы, которые были успешно обработаны AppSync. Ошибка аутентификации/авторизации не считается сценарием, при котором AppSync не удалось обработать запрос.
Я считаю, что это должно быть возможно. С федеративными удостоверениями Cognito (через IAM): https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html С пулами пользователей Cognito: https://aws.amazon.com/blogs/security/how-to-use-new-advanced-security-features-for-amazon-cognito-user-pools/
Мы не можем комментировать интеграцию AppSync с другими сервисами AWS. Можете ли вы помочь нам понять бизнес-требования, которые вы планируете рассмотреть с помощью этого вопроса?
Плохая формулировка с моей стороны - я имел в виду вкл / выкл, а не изменение.
CloudFront может быть настраиваемым параметром для appsync, конечная точка appsync может быть определена как источник для облачного фронта, lambda@edge может использоваться для добавления путей, таких как graphql aws.amazon.com/blogs/mobile/…