AWS 是否允许将 Cloudfront 用于网站使用,例如:缓存网页。 网站应该只能在企业 VPN 中访问。使用限制在一个网络中的应用程序时,将网页缓存在云端是否是个好主意?
【问题讨论】:
标签: amazon-web-services vpn amazon-cloudfront amazon-vpc
将您的网站放入公共网络 > 在 CloudFront 分发中附加 WAF 规则 > 在 WAF 规则中将您公司 IP 的范围列入白名单并将其他所有内容列入黑名单
【讨论】:
正如@daxlerod 指出的那样,可以将相对较新的Web Application Firewall 服务与 CloudFront 一起使用,以限制对内容的访问,例如,通过 IP 地址范围。
当然,为了在其前面使用 CloudFront,网站实际上不需要托管在 AWS 中。
但是,“它会起作用吗?”以及“从安全角度来看,所需配置的所有含义都可以接受吗?”是两个不同的问题。
为了在站点上使用 CloudFront,源服务器(CloudFront 获取不在请求内容的边缘节点缓存中的内容的 Web 服务器)必须可以从 Internet 访问,在为了让 CloudFront 连接到它,这意味着您的私有站点必须在某种程度上暴露给 Internet。
CloudFront IP 地址范围是公共信息,因此您可以使用源服务器的防火墙部分保护对源服务器的访问,但这只会阻止通过 CloudFront 以外的任何地方进行访问——这还不够,因为如果我知道您的“安全”服务器的名称,我可以创建自己的 CloudFront 分配并通过 CloudFront 访问它,因为 IP 地址在同一范围内。
CloudFront 为确保来自和通过授权 CloudFront 分配的请求提供的机制是自定义原始标头,它允许 CloudFront 将未知的自定义标头和机密值注入到它发送到您的原始服务器的每个请求中,以允许您的服务器验证请求不仅来自 CloudFront,而且来自您的特定 CloudFront 分配的事实。当然,您的源服务器会拒绝没有带有此标头的请求,无需解释。
当然,您需要浏览器和 CloudFront 之间的 https 以及 CloudFront 和源服务器之间的 https。可以将 CloudFront 配置为在正面或背面分别使用(或要求)https,因此如果上述安全考虑使其成为满足您需求的可行解决方案,您将需要确保为两者正确配置。
对于不高度敏感的信息,如果 CloudFront 的缓存或其他功能对您的站点有益,这似乎是一种明智的方法。
【讨论】:
是的,您的 CloudFront 被设计为网站前面的缓存层。
如果您想限制对 CloudFront 的访问,可以使用Web Application Firewall 服务。
【讨论】: