我在AWS中有一个应用程序,我正在使用Fargate(ECS),或者你可以在EC2中思考,想法是一样的。
在它前面,我有一个负载均衡接收 443 和我的端口,但都是 HTTPS 格式,并且我的域通过 Route53 暴露给它。 我的前端是 Cloudfront (s3) 中的静态 HTML,我使用 JavaScript 来访问我的端点。
我的端点有一个授权流程,但我收到了一些发往我没有的端点的 GET 请求,这是一种我不知道如何预防的攻击。
在我的应用程序中接收它之前,我应该怎么做才能阻止它?又如何?
我不知道使用 APIGateway 是否是解决方案,或者是否需要其他方法。
为了增强您的应用程序安全性,我建议您的后端也使用 CloudFront(通过 ALB 公开的 ECS 服务)。
CloudFront 将帮助您缓存内容并将其分发到离用户更近的地方,以便更快地交付。它还将提供 HTTPS 终止和自定义策略等安全功能。您可以将 ALB 安全组限制为仅允许来自 CloudFront IP 的流量。
此外,您还可以使用WAF在CloudFront上启用速率限制。虽然这不是绝对必要的,但我认为它将帮助您实现目标,
WAF 速率限制将跟踪传入请求并识别潜在的滥用模式。它还可以阻止超出请求限制的可疑 IP 地址以保护您的服务。