Protection des API terminaux () BP4 - AWS Meilleures pratiques en matière de DDoS résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des API terminaux () BP4

Lorsque vous devez exposer un API fichier au public, il existe un risque que le API frontend soit la cible d'une DDoS attaque. Pour réduire les risques, vous pouvez utiliser Amazon API Gateway comme point d'accès aux applications exécutées sur Amazon EC2 ou AWS Lambda ailleurs. En utilisant Amazon API Gateway, vous n'avez pas besoin de vos propres serveurs pour le API frontend et vous pouvez masquer d'autres composants de votre application. En rendant plus difficile la détection des composants de votre application, vous pouvez empêcher que ces AWS ressources ne soient ciblées par une DDoS attaque.

Lorsque vous utilisez Amazon API Gateway, vous pouvez choisir entre deux types de API points de terminaison. La première est l'option par défaut : des API points de terminaison optimisés pour les périphériques accessibles via une distribution Amazon. CloudFront Cependant, la distribution est créée et gérée par API Gateway, vous n'en avez donc aucun contrôle. La deuxième option consiste à utiliser un point de API terminaison régional accessible depuis le même point de terminaison que celui Région AWS dans lequel le vôtre REST API est déployé. AWS vous recommande d'utiliser le second type de point de terminaison et de l'associer à votre propre CloudFront distribution Amazon. Cela vous permet de contrôler la CloudFront distribution Amazon et de pouvoir l'utiliser AWS WAF pour la protection de la couche application. Ce mode vous donne accès à une capacité DDoS d'atténuation étendue sur l'ensemble du réseau périphérique AWS mondial.

Lorsque vous utilisez Amazon CloudFront et AWS WAF Amazon API Gateway, configurez les options suivantes :

  • Configurez le comportement du cache pour vos distributions afin de transférer tous les en-têtes au point de terminaison régional API Gateway. Ce faisant, CloudFront vous traiterez le contenu comme dynamique et vous éviterez de le mettre en cache.

  • Protégez votre API passerelle contre l'accès direct en configurant la distribution pour inclure l'en-tête personnalisé d'origine x-api-key, en définissant la valeur APIclé dans API Gateway.

  • Protégez le backend contre le trafic excessif en configurant des limites de fréquence standard ou de fréquence de rafale pour chaque méthode de votre RESTAPIs.

Pour plus d'informations sur la création APIs avec Amazon API Gateway, consultez Amazon API Gateway Getting Started.