使用弹性负载均衡器的Cloudfront无需缓存安全性

Question

我在ec2实例上有一个域，可以对远程db进行实时访问(插入新的引线)。最近，AWS建议将elb+cloud前端用于安全。

可以通过对远程db的实时访问(插入新引线)在域上启用云前端。

Answer 1

ELB和CloudFront都提供了一些安全性。它们通过终止连接来防止特定的第3层和第7层的攻击，然后将其传递到服务器上。这包括DDOS和SlowLoris。

CloudFront的优势在于它拥有遍布世界各地的节点和大量的带宽。这可以减轻许多DDOS攻击仅仅因为规模。ELB还可以使用流量进行扩展，但速度不如CloudFront快，因为它必须启动或分配新的服务器。

传入流量在AWS上是免费的。这意味着他们吸收攻击而不向你收费。

使用这两种产品都可以提高您的安全性。你不需要两者兼用。我建议你现在只使用CloudWatch。

我刚刚为我的EC2服务器设置了EC2，这很容易，但是在https周围有几个gotachas。广泛的步骤(包括HTTPS)是：

• 使用AWS证书管理器为您的域(包括www子域)在美国-东-1区域(必须是该区域)创建证书。
• 为您的原产地设置一个新的子域。CloudFront需要这个。例如，我使用origin.example.com并配置了Nginx来响应该地址。
• 设置具有此来源的CloudFront，将您的域和子域作为备用。仔细设置你的行为，考虑哪些应该缓存哪些不应该缓存。即使没有任何缓存，您的网站可能比它在互联网上的速度更快，因为一旦请求到达CloudFront，它就会通过私有优化的AWS主干传输，而不是通过公共互联网。动态内容很好，只需将TTL设置为0即可。
• 理想情况下，设置路由53，使用别名记录指向CloudFront，将DNS移到上面，并将其更改为您的名称服务器

如果您想进一步提高安全性，可以使用AWS WAF。它与CloudFront集成。它比大多数WAF便宜，但是如果它被全面设置的话，你可能会每月花费几十美元。我个人不介意，我的服务不重要。

如果您想要一个更简单的选项，请使用CloudFlare。这不是AWS的一部分，但是设置起来非常简单，而且它们有一个免费的层。我把它用在我的大部分网站上。