APIEndgeräte schützen () BP4 - AWS Bewährte Methoden für DDoS Resilienz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

APIEndgeräte schützen () BP4

Wenn Sie eine API der Öffentlichkeit zugänglich machen müssen, besteht die Gefahr, dass das API Frontend Ziel eines DDoS Angriffs wird. Um das Risiko zu verringern, können Sie Amazon API Gateway als Zugang zu Anwendungen verwenden EC2 AWS Lambda, die auf Amazon oder anderswo ausgeführt werden. Durch die Verwendung von Amazon API Gateway benötigen Sie keine eigenen Server für das API Frontend und können andere Komponenten Ihrer Anwendung verschleiern. Indem Sie es schwieriger machen, die Komponenten Ihrer Anwendung zu erkennen, können Sie verhindern, dass diese AWS Ressourcen Ziel eines Angriffs werden. DDoS

Wenn Sie Amazon API Gateway verwenden, können Sie zwischen zwei Arten von API Endpunkten wählen. Die erste ist die Standardoption: Edge-optimierte API Endgeräte, auf die über eine Amazon-Distribution zugegriffen wird. CloudFront Die Verteilung wird jedoch von API Gateway erstellt und verwaltet, sodass Sie keine Kontrolle darüber haben. Die zweite Option besteht darin, einen regionalen API Endpunkt zu verwenden, auf den von demselben AWS-Region Endpunkt aus zugegriffen REST API wird, auf dem Ihr bereitgestellt wurde. AWS empfiehlt, den zweiten Endpunkttyp zu verwenden und ihn mit Ihrer eigenen CloudFront Amazon-Distribution zu verknüpfen. Auf diese Weise haben Sie die Kontrolle über den CloudFront Amazon-Vertrieb und können ihn AWS WAF für den Schutz auf Anwendungsebene verwenden. Dieser Modus bietet Ihnen Zugriff auf skalierte DDoS Minderungskapazitäten im gesamten AWS globalen Edge-Netzwerk.

Wenn Sie Amazon CloudFront und AWS WAF Amazon API Gateway verwenden, konfigurieren Sie die folgenden Optionen:

  • Konfigurieren Sie das Cache-Verhalten für Ihre Distributionen so, dass alle Header an den regionalen API Gateway-Endpunkt weitergeleitet werden. Auf diese Weise CloudFront wird der Inhalt als dynamisch behandelt und das Zwischenspeichern des Inhalts übersprungen.

  • Schützen Sie Ihr API Gateway vor direktem Zugriff, indem Sie die Distribution so konfigurieren, dass sie den benutzerdefinierten Origin-Header enthält x-api-key, indem Sie den APISchlüsselwert in API Gateway festlegen.

  • Schützen Sie das Backend vor übermäßigem Datenverkehr, indem Sie Standard- oder Burst-Rate-Limits für jede Methode in Ihrem REST APIs konfigurieren.

Weitere Informationen zur Erstellung APIs mit Amazon API Gateway finden Sie unter Erste Schritte mit Amazon API Gateway.