【问题标题】:Are public website s3 buckets vulnerable to DDoS attacks?公共网站 s3 存储桶是否容易受到 DDoS 攻击?
【发布时间】:2020-08-07 08:58:22
【问题描述】:

我们正在努力使我们的 Web 应用程序成为最具成本效益和最安全的应用程序因此我们使用 Clodflare 而不是 ClodFront 作为 CDN 四个我们的前端资源,但将 CloudFront 放在 Cloudflare 和 S3 之间以便能够使用Full SSL (strict),这是必需的,因为我们有一个 API Gateway 的子域,需要它来避免使用 Cloudflare Flexibe SSL 时产生的无限循环

问题在于,关于将 S3 与 CloudFront 连接以进行网站托管的 AWS 文档指示允许公共访问存储桶内容 (1),而 Cloudflare 建议限制对 Cloudflare 服务器 IP 的访问,以禁止对网站存储桶的公共请求 ( 2, 3)

具体来说,我们希望能够有效地使用 Cloudflare 免费的 DDoS 保护,避免与直接接收 DDoS 攻击到我们的 AWS 部署资源相关的潜在高成本,以及使用其他非免费服务作为 AWS WAF 的需要

所以我的问题是,考虑到使用 Cloudflare、CloudFront 和 S3 网站存储桶以及公共访问存储桶策略的架构,是否存在 DDoS 漏洞,特别是 CloudFront 和 S3 没有受到 Cloudflare 的适当保护?

【问题讨论】:

  • 我相信这更适合信息安全堆栈交换。
  • 也许吧,但我想我可以在这里得到更快的回复如果我在这里得到答案,我会把它复制到那里

标签: amazon-s3 amazon-cloudfront


【解决方案1】:

您似乎希望限制对 Amazon S3 存储桶的访问,以便只能通过 CloudFront 访问。

这可以通过为 CloudFront 分配创建一个源访问身份,然后在 Amazon S3 存储桶的存储桶策略中引用此身份来完成。

见:Restricting Access to Amazon S3 Content by Using an Origin Access Identity - Amazon CloudFront

这样,存储桶公开。

但是,可以通过转到 CloudFront(无需先通过 Cloudflare)来访问存储桶,但我想您不会公开 CloudFront URL,因此不太可能发生。

【讨论】:

  • 正如我一直在研究的那样,CloudFront OAI 强加了一个 S3 REST 端点而不是一个网站 S3 端点,这对前端路由规则有严重的限制,我们不愿意在我们的前端接管这些规则开发sanderknape.com/2020/02/…
猜你喜欢
  • 2019-11-14
  • 2023-04-07
  • 2015-12-31
  • 2016-04-29
  • 2015-06-08
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多