So lassen Sie nur zu, dass API-Gateway-Anforderungen unsere EC2-Instanzen erreichen

Wir haben mehrere EC2-Instanzen, die unsere Mikrodienste hosten. Die Autoscaling-Gruppe von Servern verfügt über eine ELB. Der gesamte Datenverkehr wird über das AWS API Gateway weitergeleitet. Das Problem ist, dass der HTTPS-Port der ELB für die Welt geöffnet ist.

Wie schützen wir unsere Server, damit der Datenverkehr nur über das API-Gateway geleitet werden kann?

Seit November 2017 ist es nun möglich, direkt mit Servern in einer VPC zu interagieren \ o /

Sehen:

• /programming/32671394/can-i-specify-http-endpoint-in-a-vpc-as-resource-in-aws-api-gateway
• http://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-private-integration.html

Der beste Schutz für Ihre Server, wenn Sie ihre HTTPS nicht der Welt aussetzen möchten, besteht darin, sie in einer VPC zu isolieren .

API Gateway kann jedoch (noch) nicht für die direkte Interaktion mit Servern in einer VPC / einem Subnetz konfiguriert werden. Um diese Einschränkung zu umgehen, können Sie Ihren Datenverkehr vom API-Gateway über AWS Lambda übertragen, um die VPC zu erreichen. AWS Blog hat einen ausgezeichneten Blog-Beitrag , der genau erklärt, wie das geht.

Das Isolieren Ihrer Server in einer VPC ist sicherer, als sie im öffentlichen Internet zu halten und zu versuchen, etwas zu erstellen, um festzustellen, ob der Datenverkehr legitim ist (vom API-Gateway).