php - 如何使用 NGINX PHP Web 服务提高 AWS EC2 的安全性
问题描述
我正在寻找一些关于如何保护在 AWS 上运行的后端的一般信息。我有移动应用程序向 PHP 脚本发送请求,这些脚本位于使用 NGINX 配置的 AWS EC2 实例中。PHP 脚本唯一要做的就是查询 MySQL 数据库并将 json 响应回显给应用程序。我一直在寻找增强后端安全性以抵御 DDoS 攻击等的选项。我没有任何用户可以与之交互的 Web 内容,只有这些 PHP 端点,应用程序与之通信以检索数据。
就我而言,AWS Cloudfront 会有帮助吗?据我了解,CloudFront 用于 CDN,它处理可以分发到不同服务器的静态 Web 内容,但由于我没有任何网站,而且 PHP 文件只是将数据返回给移动应用程序,所以我'不确定它有什么帮助。
他们还说 AWS Shield 默认启用,但我不确定这是否仅在我使用它们作为服务提供的 AWS-API 时才有用,而不是我自己将 php 脚本上传到 EC2 实例。
以我在服务器上拥有 php 文件的方式,我想知道我的后端是否得到了 AWS 吹嘘其安全性的所有好处。
我知道这个问题非常笼统,但作为初学者,任何关于我可以选择加入哪些 AWS 产品/选项以使后端更安全的建议都将不胜感激。
谢谢
解决方案
我建议您查看名为AWS Best Practices for DDoS Resiliency的 AWS 白皮书。它提供了很多关于 DDoS 和 AWS 的有用信息,以及您可以使用哪些服务以及如何保护您的应用程序。
- 就我而言,AWS Cloudfront 会有帮助吗?
是的,它会很有帮助,并且对动态内容很有用。它是 DDoS 防御策略不可或缺的一部分,因为所有请求都会首先到达 AWS 边缘位置,而不是直接到达您的服务器。从白皮书:
Amazon CloudFront 仅接受格式正确的连接,这有助于防止许多常见的 DDoS 攻击(如 SYN 洪水和 UDP 反射攻击)到达您的源站。
- 他们还说 AWS Shield 默认启用,
AWS Shield Standard(免费)仅适用于 Route 53 和 CloudFront。因此,如果没有 CloudFront,您将不会受到保护。因此,在列表中,我会考虑使用您自动获得 Shield 的 CloudFront。
此外,由于您托管了一些 PHP API,您可以考虑首先通过 ** API Gateway** 代理它,因为这是您可以防止 DDoS 的另一种方式,因为您可以简单地对您的 API 施加一些限制。