保護API端點 (BP4) - AWS DDoS恢復能力的最佳做法

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

保護API端點 (BP4)

當您必須向公眾暴露時,存在API前端可能受API到DDoS攻擊目標的風險。為了協助降低風險,您可以使用 Amazon API Gateway 做為在 Amazon EC2 或其他地方執行之應用程式的入口通 AWS Lambda道。透過使用 Amazon API Gateway,您不需要自己的API前端伺服器,而且可以混淆應用程式的其他元件。藉由使偵測應用程式元件變得更加困難,您可以協助防止這些 AWS 資源受到DDoS攻擊的目標。

使用 Amazon API 閘道時,您可以從兩種API端點類型中進行選擇。第一個是預設選項:透過 Amazon CloudFront 分發存取的邊緣最佳化API端點。但是,該分發由 API Gateway 創建和管理,因此您無法控制它。第二個選項是使用從部署的相同API端點存取 AWS 區域 的區域端點。REST API AWS 建議您使用第二種類型的端點,並將其與您自己的 Amazon CloudFront 分發產生關聯。這使您可以控制 Amazon CloudFront 分發以及用 AWS WAF 於應用程序層保護的能力。此模式可讓您存取整個 AWS 全球邊緣網路的擴充DDoS緩和容量。

使用 Amazon CloudFront 和 AWS WAF Amazon API 閘道時,請設定下列選項:

  • 為您的分發配置緩存行為,以將所有標頭轉發到 API Gateway 地區端點。通過這樣做, CloudFront 會將內容視為動態內容並跳過緩存內容。

  • 透過在 API Gateway 中設定API金鑰值,將散發設定為包含來源自訂標頭 x-api-key,以保護API閘道不受直接存取的影響。

  • 透過為您的 RESTAPIs. 中的每個方法設定標準或突發速率限制,以保護後端免受過量流量的影響

如需有關APIs使用 Amazon API 閘道建立的詳細資訊,請參閱 Amazon API 閘道入門