захист AWS від масового доступу

У мене є екземпляр AWS Linux Linux t2.micro з 2 мільйонами вводу / виводу.

Якщо я правильно зрозумів (дайте мені знати, якщо я цього не зробив), 2 млн вводу / виводу означають, що безкоштовне обслуговування дозволяє обслуговувати 2 мільйони ìndex.php.

Моє запитання - як я можу захистити свій сервер, щоб уникнути масового доступу та запитів.

Дякую за пораду.

webserver amazon-web-services

— DevStarlight
джерело

Ні, 2 млн вводу-виводу не означає 2 мільйони звернень до сторінки. Це 2 мільйони дискових операцій, так що це може означати набагато менше або набагато більше, оскільки сама сторінка часто буде присутня в кеш-пам'яті os, але журнал веб-сервера та інші процеси також вимагають дискових операцій.

— Майкл - sqlbot

Спочатку давайте розглянемо пояснення AWS до того, на що ви посилаєтесь тут:

https://aws.amazon.com/ec2/pricing/

30 Гб Amazon Elastic Block Storage в будь-якій комбінації загального призначення (SSD) або Magnetic, плюс 2 мільйони вводу / виводу (з магнітним) та 1 Гб зберігання знімків

Ці введення-виведення призначені для прямого доступу до диска, і оскільки ваш файл index.php буде кешований і завантажений у пам'ять, залежно від того, що робить ваш файл index.php, це навряд чи вплине на ваш введення-виведення.

Один із способів перевірити та відстежувати свою стурбованість щодо раптового сплеску доступу та запитів - це запустити популярну утиліту «Бджоли з кулеметами» ( https://github.com/newsapps/beeswithmachineguns ) у своєму веб-додатку та контролювати вплив у CloudWatch. CloudWatch за замовчуванням моніторів з кроком 5 хвилин, тому будьте терплячі; якщо ви поміняєте CloudWatch на моніторинг через 1 хвилину, вам стягуватимуться додатково, тому будьте обережні. Зауважте, що оскільки ви, в основному, виконуєте атаку на відмову в обслуговуванні на свій примірник, вам потрібно отримати дозвіл від AWS запустити тест заздалегідь або ризикувати призупиненням облікового запису AWS. ( https://aws.amazon.com/security/penetration-testing )

Я думаю, що найпростішим і, мабуть, найдешевшим способом убезпечити ваш сервер від небажаних стрибків у трафіку або повної роздутої атаки DDoS (розподіленого відмови в обслуговуванні) було б використовувати керовану службу, як CloudFlare.com. Звичайно, ви можете використовувати пристрій безпеки, як Sophos UTM 9 або Imperva, але вам потрібно знати, як налаштувати та підтримувати його, крім додаткових погодинних витрат та ліцензування.

Нещодавно AWS анонсувала AWS WAF (брандмауер веб-додатків), але схоже, що вам потрібно пов’язати його з CloudFront. ( https://aws.amazon.com/blogs/aws/new-aws-waf )

Якщо ви не хочете користуватися будь-якими іншими інструментами, вам доведеться послідовно контролювати веб-додаток і блокувати небажані запити, коли вони надходять з використанням віртуальної приватної мережі (VPC) та контролю доступу до мережі (NACL) у ваших підмережах VPC. Хоча це спрацює, ви можете виявити, що ви граєте в безшовний моль, якщо ваш сайт піддається частому нападу.

Нарешті, найкращим способом захисту вашого веб-сайту є використання декількох шарів безпеки (AKA Defense in Depth), тому якщо ви не впевнені, як це зробити, я рекомендую взяти чашку кави (або дві) та почати вчитися в OWASP (The Відкрити проект безпеки веб-додатків). (www.owasp.org)