Amazon-Ec2
具有彈性負載均衡器的 Cloudfront,無需記憶體以確保安全
我在 ec2 實例上有一個域,可以實時訪問(插入新線索)到遠端數據庫。最近 AWS 建議使用 elb+cloud front 來保證安全。
可以在具有對遠端數據庫的實時訪問(插入新線索)的域上啟用雲前端。
ELB 和 CloudFront 都提供了一些安全性。它們通過在將連接傳遞到您的伺服器之前終止連接來防止特定的第 3 層和第 7 層攻擊。這包括DDOS和SlowLoris。
CloudFront 的優勢在於它擁有遍布全球的節點,以及海量的頻寬。僅僅因為規模,這可以減輕許多 DDOS 攻擊。ELB 還可以隨流量擴展,但不如 CloudFront 快,因為它必須啟動或分配新伺服器。
AWS 上的傳入流量是免費的。這意味著他們可以免費吸收攻擊。
使用這些產品中的任何一個都可以提高您的安全性。您不需要同時使用兩者。我建議您現在只使用 CloudWatch。
我剛剛為我的 EC2 伺服器設置了 CloudFront,這相當容易,但在 https 周圍有一些問題。廣泛的步驟(包括 HTTPS)是:
- 使用 AWS 證書管理器為您在 US-EAST-1 區域(必須是該區域)中的域(包括 www 子域)創建證書
- 為您的來源設置一個新的子域。CloudFront 需要這個。例如,我使用 origin.example.com 並配置 Nginx 以響應該地址。
- 使用該源設置 CloudFront,並將您的域和子域作為備用。仔細設置你的行為,考慮什麼應該和不應該被記憶體。即使沒有記憶體任何內容,您的網站也可能比通過 Internet 更快,因為一旦請求到達 CloudFront,它就會通過私有優化的 AWS 主幹,而不是公共 Internet。動態內容很好,只需將 TTL 設置為 0。
- 理想情況下,設置 Route 53,使用別名記錄指向 CloudFront,移動您的 DNS,並將其更改為您的名稱伺服器
如果您想進一步提高安全性,可以使用AWS WAF。它與 CloudFront 集成。它比大多數 WAF 便宜,但如果全面設置,您每月可能會花費數十美元。就我個人而言,我不打擾,我的服務並不重要。
如果您想要更簡單的選擇,請使用CloudFlare。這不是 AWS 的一部分,但設置起來非常簡單,而且他們有免費套餐。我將它用於我的大多數網站。