So lassen Sie nur zu, dass API-Gateway-Anforderungen unsere EC2-Instanzen erreichen

7

Wir haben mehrere EC2-Instanzen, die unsere Mikrodienste hosten. Die Autoscaling-Gruppe von Servern verfügt über eine ELB. Der gesamte Datenverkehr wird über das AWS API Gateway weitergeleitet. Das Problem ist, dass der HTTPS-Port der ELB für die Welt geöffnet ist.

Wie schützen wir unsere Server, damit der Datenverkehr nur über das API-Gateway geleitet werden kann?

Evgeny
quelle

Antworten:

6

Seit November 2017 ist es nun möglich, direkt mit Servern in einer VPC zu interagieren \ o /

Sehen:

Maxime Thoonsen
quelle
1
Sie können versuchen, weitere Informationen aus aws doc hinzuzufügen, falls aws das Dokument verschiebt, damit zukünftige Leser nach einem bestimmten Begriff suchen können, um ihn wiederzufinden, wenn der Link unterbrochen wird.
Tensibai
4

Der beste Schutz für Ihre Server, wenn Sie ihre HTTPS nicht der Welt aussetzen möchten, besteht darin, sie in einer VPC zu isolieren .

API Gateway kann jedoch (noch) nicht für die direkte Interaktion mit Servern in einer VPC / einem Subnetz konfiguriert werden. Um diese Einschränkung zu umgehen, können Sie Ihren Datenverkehr vom API-Gateway über AWS Lambda übertragen, um die VPC zu erreichen. AWS Blog hat einen ausgezeichneten Blog-Beitrag , der genau erklärt, wie das geht.

Das Isolieren Ihrer Server in einer VPC ist sicherer, als sie im öffentlichen Internet zu halten und zu versuchen, etwas zu erstellen, um festzustellen, ob der Datenverkehr legitim ist (vom API-Gateway).

Alexandre
quelle
Das Proxying über Lambda würde für jede mäßig aktive API extrem teuer werden. Es muss bessere Möglichkeiten geben.
Evgeny
1
Extrem teuer? Wie das? Können Sie Ihre Nutzungsstatistiken teilen?
Alexandre
1
Sagen wir 150 Millionen Ausführungen pro Monat, bis zu 400 Millionen pro Anfrage. Auswahl des Lambda-Typs mit der geringsten Leistung von 128 MB. Der Rechner unter s3.amazonaws.com/lambda-tools/pricing-calculator.html zeigt ungefähr ~ $ 150 / Monat an. Eigentlich nicht extrem teuer, aber auch nicht zu vernachlässigen.
Evgeny