Jak chronić punkty końcowe bez serwerów Bez względu na nadużycia/DoS?

Question

planuję mieć następującą konfigurację:

1. Całkowicie STATIC interfejs front-end web (zbudowany z angularjs lub gustuje)
2. bez serwera Framework API back-end

Chcę zapisać mój front-end w S3 i mój back-end w Lambda. Ponieważ jestem obciążany za każdym razem, gdy funkcja lambda jest wykonywana, nie chcę, aby każdy mógł wysyłać żądania bezpośrednio do niego. Z drugiej strony, chcę przechowywać mój front-end po prostu w S3 w przeciwieństwie do serwera.

Jak zabezpieczyć swój back-end API przed nadużyciem lub DoS?

Answer 1

Nie jestem pewien, czy możesz chronić swój przedni koniec, nazywając go bardziej niż powinien, ponieważ jest to bardzo trudne do określenia.

Jednak dla prawdziwej ochrony przed atakami typu DDoS lub DoS prawdopodobnie użyłbyś features of API Gateway (sprawdź pytanie dotyczące zagrożeń lub nadużycia) lub nowego numeru AWS WAF. Wiem, że WAF ma możliwość blokowania zakresów adresów IP i tym podobnych.

Answer 2

co @Boushley powiedział +

może chcesz kasy Cloudflare: https://www.cloudflare.com/ddos

Answer 3

Właściwie Amazon API Bramka automatycznie chroni systemów zaplecza od Distributed Denial-of-service (DDoS), czy zaatakowany fałszywe żądania (warstwa 7) lub powodzie SYN (warstwa 3).

Answer 4

W swoim serwerzeless.yml możesz teraz podać właściwość provider.usagePlan, zakładając, że używasz AWS.

provider: 
    ... 

    usagePlan: # limit expenditures 
    quota: 
     limit: 5000 
     period: DAY 
    throttle: 
     burstLimit: 200 
     rateLimit: 100 

Choć to nie znaczy, że nie może być zaatakowany atakiem typu DDoS (jak @mrBorna wspomniano AWS próbuje zapobiec domyślnie), należy przez to rozumieć, że jeśli zaatakowany atakiem typu DDoS, nie będzie mieć znaczący wpływ w perspektywie finansowej .