Protezione degli endpoint () API BP4 - AWS Le migliori pratiche per la DDoS resilienza

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione degli endpoint () API BP4

Quando è necessario esporre un file API al pubblico, esiste il rischio che il API frontend venga preso di mira da un attacco. DDoS Per contribuire a ridurre il rischio, puoi utilizzare Amazon API Gateway come accesso alle applicazioni in esecuzione su Amazon EC2 o AWS Lambda altrove. Utilizzando Amazon API Gateway, non sono necessari server propri per il API frontend e si possono offuscare altri componenti dell'applicazione. Rendendo più difficile il rilevamento dei componenti dell'applicazione, puoi contribuire a evitare che tali AWS risorse vengano prese di mira da un attacco. DDoS

Quando usi Amazon API Gateway, puoi scegliere tra due tipi di API endpoint. La prima è l'opzione predefinita: API endpoint ottimizzati per i bordi a cui si accede tramite una distribuzione Amazon. CloudFront Tuttavia, la distribuzione viene creata e gestita da API Gateway, quindi non ne hai il controllo. La seconda opzione consiste nell'utilizzare un API endpoint regionale a cui si accede dallo stesso Regione AWS in cui REST API è distribuito il tuo. AWS consiglia di utilizzare il secondo tipo di endpoint e di associarlo alla propria CloudFront distribuzione Amazon. Questo ti dà il controllo sulla CloudFront distribuzione Amazon e la possibilità di utilizzarla AWS WAF per la protezione a livello di applicazione. Questa modalità fornisce l'accesso a una capacità di DDoS mitigazione scalabile su tutta la rete AWS perimetrale globale.

Quando usi Amazon CloudFront e AWS WAF con Amazon API Gateway, configura le seguenti opzioni:

  • Configura il comportamento della cache per le tue distribuzioni per inoltrare tutte le intestazioni all'endpoint regionale API Gateway. In questo modo, CloudFront tratterà il contenuto come dinamico e salterà la memorizzazione nella cache del contenuto.

  • Proteggi il tuo API gateway dall'accesso diretto configurando la distribuzione per includere l'intestazione personalizzata di origine x-api-key, impostando il valore della APIchiave in Gateway. API

  • Proteggi il backend dal traffico in eccesso configurando limiti standard o di burst rate per ogni metodo utilizzato. REST APIs

Per ulteriori informazioni sulla creazione APIs con Amazon API Gateway, consulta Amazon API Gateway Getting Started.