如何防止对AWS的“成本攻击”？

Question

好的，我使用的是AWS，使用的是无服务器的体系结构，因为AWS将以微服务的形式运行函数，我不需要处理服务器。

不仅如此，它还具有自动可伸缩性，而且收费采用这种“随付即付”的格式。一切看起来都很好但是..。

考虑到安全性和可能的攻击，我可以想象出一种攻击，它不一定是DDoS，但攻击者只会从我的服务器上反复请求来自多个客户端的数据(因此不会触发API的速率限制)，这样我的成本就会急剧增加(因为“按你付酬”+“自动缩放”)，实际上在月底给我留下了一张10.000美元的账单。

我理解“成本攻击”一词可能还不存在，但随着服务转移到无服务器环境(AWS、Google、Azure等)，它可能会变得更加常见。

关于如何处理或防止它的想法？

Answer 1

AWS允许您根据当前的支出速度设置预算和警报。这些对控制你的开支是有用的。理论上，您还可以设置基于计费的自动化，以开始缩小服务规模，以避免在本月底支付10万美元的账单。

AWS预算教程

如果你的支出警报器响了，那么你会看看为什么这个月你的成本是不正常的，并确定需要做些什么来减轻攻击。在那个时候，你的行动将取决于是什么驱使你的成本上升。

可能很难区分费用是合法使用还是攻击。遵循标准的威胁建模实践将帮助您识别应用程序中容易受到此类攻击的部分。特别是，尝试限制未经身份验证的用户访问应用程序中资源密集型部分的能力。