适用于VPC / VPN的AWS Cloudfront
[英]AWS Cloudfront for VPC/VPN
问题描述
AWS是否允许使用Cloudfront进行网站使用,例如: - 缓存网页。 网站只能在公司VPN中访问。 在一个网络中使用受限制的应用程序时,在云端缓存网页是一个好主意吗?
3 个解决方案
解决方案1
19 已采纳 2016-02-20 03:57:48
正如@daxlerod指出的那样,可以在CloudFront中使用相对较新的Web应用程序防火墙服务来限制对内容的访问,例如,通过IP地址范围。
当然,并不要求网站实际托管在AWS内部,以便在其前面使用CloudFront。
但是,“它会起作用吗?” 并且“从安全角度来看,所需配置的所有含义是什么?” 是两个不同的问题。
为了在站点上使用CloudFront,必须可以从Internet访问源服务器(CloudFront在其中提取不在请求内容的边缘节点的缓存中的内容的Web服务器),以便CloudFront连接到它,这意味着您的私人网站必须在某种程度上暴露给互联网。
CloudFront IP地址范围是公共信息,因此您可以使用源服务器的防火墙部分保护对原始服务器的访问,但这只能阻止从CloudFront以外的任何地方进行访问 - 这是不够的,因为如果我知道您的“安全”服务器的名称,我可以创建自己的CloudFront分配并通过CloudFront访问它,因为IP地址将在相同的范围内。
CloudFront提供的机制是确保来自授权CloudFront分配的请求是自定义源头,这允许CloudFront将未知的自定义头和秘密值注入它发送到源服务器的每个请求,以允许您的服务器验证事实上,该请求不仅来自CloudFront,而且来自您的特定CloudFront分配。 当然,您的原始服务器会拒绝不带此标题的请求,而无需解释。
当然,您需要在浏览器和CloudFront之间使用https,在CloudFront和源服务器之间使用https。 可以将CloudFront配置为分别在正面或背面使用(或要求)https,因此,如果上述安全注意事项使其成为满足您需求的可行解决方案,则需要确保为两者配置适当的https。
对于不是非常敏感的信息,如果CloudFront的缓存或其他功能对您的网站有益,这似乎是一种明智的方法。
解决方案2
2 2016-02-20 02:41:19
是的,您将CloudFront设计为网站前的缓存层。
如果要限制对CloudFront的访问,可以使用Web应用程序防火墙服务。
解决方案3
0 2017-11-06 23:37:26
将您的网站置于公共网络>在CloudFront分配中附加WAF规则>在WAF规则中公司IP的白名单范围和黑名单其他所有内容
AWS Site-to-Site VPN 和 AWS VPC 对等互连之间的区别?
[英]Difference between AWS Site-to-Site VPN and AWS VPC peering?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.