如何使用 NGINX PHP web 服務提高 AWS EC2 的安全性

Question

我正在尋找一些關於如何保護在 AWS 上運行的后端的一般信息。 我有移動應用程序向 PHP 腳本發送請求，這些腳本位於配置了 NGINX 的 AWS EC2 實例中。 PHP 腳本唯一要做的就是查詢 MySQL 數據庫並將 json 響應回顯給應用程序。 我一直在尋找增強后端安全性以抵御 DDoS 攻擊等的選項。 我沒有用戶可以與之交互的任何 web 內容，但只有這些 PHP 端點，應用程序與之通信以檢索數據。

1. 就我而言，AWS Cloudfront 會有幫助嗎？ 據我了解，CloudFront 用於 CDN，它處理 static web 內容可以分發到不同的服務器，但由於我沒有任何網站，並且 Z2FEC392304A5C23AC7 僅將數據服務回移動應用程序，I38DA2284CZ7F 文件是'不確定它如何提供幫助。

2. 他們還說 AWS Shield 默認啟用，但我不確定這是否僅在我使用他們作為服務提供的 AWS-API 時才有用，而不是我自己將 php 腳本上傳到 EC2 實例。

以我在服務器上擁有 php 文件的方式，我想知道我的后端是否得到了 AWS 吹噓其安全性的所有好處。

我知道這個問題非常籠統，但作為初學者，任何關於我可以選擇加入哪些 AWS 產品/選項以使后端更安全的建議都將不勝感激。

謝謝

Answer 1

我建議您查看名為AWS Best Practices for DDoS Resiliency的 AWS 白皮書。 它提供了很多關於 DDoS 和 AWS 的有用信息，以及您可以使用哪些服務以及如何保護您的應用程序。

1. 就我而言，AWS Cloudfront 會有幫助嗎？

是的，它會很有幫助，並且對動態內容很有用。 它是 DDoS 防御策略不可或缺的一部分，因為所有請求都會首先到達 AWS 邊緣位置，而不是直接到達您的服務器。 從白皮書：

Amazon CloudFront 僅接受格式正確的連接，這有助於防止許多常見的 DDoS 攻擊（例如 SYN 洪水和 UDP 反射攻擊）到達您的源頭。

2. 他們還說 AWS Shield 默認啟用，

AWS Shield Standard（免費）僅適用於 Route 53 和 CloudFront 。 因此，如果沒有 CloudFront，您將不會受到保護。 因此，在列表中，我會考慮使用您自動獲得 Shield 的 CloudFront。

Also, since you are hosting some PHP API, you could consider proxing it through ** API Gateway** first, as this is yet another way you can protect from DDoS as you can simply impose some throttling limits on your API.