如果关闭CloudFront缓存功能并将所有标头转发到源,会失去CloudFront的DDoS保护吗?
0
【以下的问题经过翻译处理】 我们正试图为我们的后端服务中最好地保护免受DDoS攻击,并在我们的服务前面设置了WAF,CloudFront也在其前面。
AWS白皮书https://d1.awsstatic.com/whitepapers/Security/DDoS_White_Paper.pdf提到如何使用CloudFront提高DDoS抵御的能力:
使用CloudFront,AWS Global Accelerator和Amazon Route 53的好处包括:
• AWS Global Edge Network可以提供巨大网络容量来缓解DDos攻击,容量可以达到TB级别。
• AWS Shield DDoS缓解系统与AWS边缘服务集成,将缓解时间从几分钟减少到亚秒级。
• 无状态SYN Flood缓解技术会代理和验证传入连接,然后再将其传递给受保护的服务。确保只有有效连接才能到达您的应用程序,同时保护您的有效终端用户免受误报阻塞。
我们想禁用缓存并将命中CloudFront的原始请求中的所有标头转发到我们的后端服务,基本上使用CloudFront作为反向代理。如果这样做,我们仍然可以使用CloudFront的AWS全球边缘网络来缓解DDoS攻击吗?
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 简而言之:如果禁用缓存,你会失去少量的保护。
无论缓存是否启用,CloudFront都会终止浏览器的请求,然后向源发出新的请求,假设过程一切顺利:WAF;Lambda@Edge;CloudFront Functions等。因此,如果存在某种恶意活动或DDoS事件,CloudFront将首先看到该流量,您可以选择(例如)使用WAF阻止它或使用CloudFront中的其他机制(例如SYN洪泛防护)来保护服务。
缓存在这里是有帮助的,因为它意味着缓存的请求不会到达您的源站。在“高负载”情况下,这样可以减少发送到应用程序的流量。如果禁用缓存,则所有有效请求都将由源处理,从而增加负载、成本和对原始请求者的延迟。