Proteger los puntos finales () API BP4 - AWS Mejores prácticas para la DDoS resiliencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Proteger los puntos finales () API BP4

Cuando se debe exponer un API mensaje al público, existe el riesgo de que la API interfaz sea blanco de un DDoS ataque. Para ayudar a reducir el riesgo, puede utilizar Amazon API Gateway como puerta de entrada a las aplicaciones que se ejecutan en Amazon o en EC2 cualquier otro AWS Lambda lugar. Al utilizar Amazon API Gateway, no necesita sus propios servidores para la API interfaz y puede ocultar otros componentes de la aplicación. Al dificultar la detección de los componentes de su aplicación, puede evitar que esos AWS recursos sean blanco de un ataque. DDoS

Cuando utiliza Amazon API Gateway, puede elegir entre dos tipos de API puntos de enlace. La primera es la opción predeterminada: API puntos de enlace optimizados para periferia a los que se accede a través de una distribución de Amazon. CloudFront Sin embargo, API Gateway crea y administra la distribución, por lo que no tienes control sobre ella. La segunda opción consiste en utilizar un API punto final regional al que se acceda desde el mismo punto Región de AWS en el que REST API está desplegado el suyo. AWS recomienda que utilices el segundo tipo de punto final y lo asocies a tu propia CloudFront distribución de Amazon. Esto te da el control sobre la CloudFront distribución de Amazon y la posibilidad de utilizarla AWS WAF para la protección de la capa de aplicaciones. Este modo le proporciona acceso a una capacidad de DDoS mitigación escalable en toda la red perimetral AWS global.

Cuando utilice Amazon CloudFront y AWS WAF con Amazon API Gateway, configure las siguientes opciones:

  • Configure el comportamiento de la caché de sus distribuciones para reenviar todos los encabezados al punto de API enlace regional de Gateway. De este modo, CloudFront tratará el contenido como dinámico y omitirá el almacenamiento en caché del contenido.

  • Proteja su API Gateway contra el acceso directo configurando la distribución para que incluya el encabezado personalizado de origen; para ello x-api-key, establezca el valor de la APIclave en API Gateway.

  • Proteja el backend del exceso de tráfico configurando límites de velocidad estándar o de ráfaga para cada método de su REST APIs dispositivo.

Para obtener más información sobre cómo crear APIs con Amazon API Gateway, consulte Introducción a Amazon API Gateway.