[英]AWS Cloudfront for VPC/VPN
AWS是否允許使用Cloudfront進行網站使用,例如: - 緩存網頁。 網站只能在公司VPN中訪問。 在一個網絡中使用受限制的應用程序時,在雲端緩存網頁是一個好主意嗎?
正如@daxlerod指出的那樣,可以在CloudFront中使用相對較新的Web應用程序防火牆服務來限制對內容的訪問,例如,通過IP地址范圍。
當然,並不要求網站實際托管在AWS內部,以便在其前面使用CloudFront。
但是,“它會起作用嗎?” 並且“從安全角度來看,所需配置的所有含義是什么?” 是兩個不同的問題。
為了在站點上使用CloudFront,必須可以從Internet訪問源服務器(CloudFront在其中提取不在請求內容的邊緣節點的緩存中的內容的Web服務器),以便CloudFront連接到它,這意味着您的私人網站必須在某種程度上暴露給互聯網。
CloudFront IP地址范圍是公共信息,因此您可以使用源服務器的防火牆部分保護對原始服務器的訪問,但這只能阻止從CloudFront以外的任何地方進行訪問 - 這是不夠的,因為如果我知道您的“安全”服務器的名稱,我可以創建自己的CloudFront分配並通過CloudFront訪問它,因為IP地址將在相同的范圍內。
CloudFront提供的機制是確保來自授權CloudFront分配的請求是自定義源頭,這允許CloudFront將未知的自定義頭和秘密值注入它發送到源服務器的每個請求,以允許您的服務器驗證事實上,該請求不僅來自CloudFront,而且來自您的特定CloudFront分配。 當然,您的原始服務器會拒絕不帶此標題的請求,而無需解釋。
當然,您需要在瀏覽器和CloudFront之間使用https,在CloudFront和源服務器之間使用https。 可以將CloudFront配置為分別在正面或背面使用(或要求)https,因此,如果上述安全注意事項使其成為滿足您需求的可行解決方案,則需要確保為兩者配置適當的https。
對於不是非常敏感的信息,如果CloudFront的緩存或其他功能對您的網站有益,這似乎是一種明智的方法。
是的,您將CloudFront設計為網站前的緩存層。
如果要限制對CloudFront的訪問,可以使用Web應用程序防火牆服務。
將您的網站置於公共網絡>在CloudFront分配中附加WAF規則>在WAF規則中公司IP的白名單范圍和黑名單其他所有內容
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.