Inizia a usare i servizi AWS Edge

Tutorial pratici e contenuti che coprono i concetti di base.

Servizi AWS Edge

Una Regione AWS è un luogo fisico in cui AWS raggruppa i cluster di data center e gestisce servizi regionali, come EC2 e S3. Nel caso specifico delle applicazioni online, il traffico degli utenti può attraversare più reti pubbliche per raggiungere un'infrastruttura regionale. Se desideri risolvere gli svantaggi dell'attraversamento di reti non controllate in termini di prestazioni, affidabilità e sicurezza, è necessario considerare l'aggiunta dei servizi edge di AWS alla tua architettura. I Servizi AWS Edge, come Amazon CloudFront e AWS Global Accelerator, operano su centinaia di Point of Presence (PoP) distribuiti in tutto il mondo al di fuori delle Regioni AWS. Gli utenti vengono serviti da questi PoP in media entro 20-30 millisecondi e, quando serve, il loro traffico viene trasferito all'infrastruttura regionale tramite la rete globale AWS anziché passare attraverso la rete Internet pubblica. L'infrastruttura globale di AWS è un'infrastruttura privata appositamente costruita, ad alta disponibilità e a bassa latenza, costruita su una rete in fibra metropolitana globale, completamente ridondante, collegata tramite cavi terrestri e transoceanici in tutto il mondo.

Distribuisci contenuti in modo sicuro a bassa latenza e alta velocità di trasferimento.

Proteggi le tue applicazioni Web dalle minacce più comuni.

Massimizza la disponibilità e la reattività delle applicazioni con la protezione DDoS.

Configura e gestisci centralmente le regole di firewall sugli account.

Migliora la disponibilità, le prestazioni e la sicurezza delle applicazioni attraverso la rete globale di AWS.

Amazon CloudFront, il CDN di AWS

CloudFront è la rete di distribuzione di contenuti (CDN) di Amazon. CloudFront viene utilizzato per accelerare le applicazioni web basate su HTTP(S) e migliorarne disponibilità e sicurezza. CloudFront può essere utilizzato in casi d'uso come la distribuzione completa di siti web, la protezione e l'accelerazione delle API, lo streaming video adattivo e il download di software. Per utilizzare questo servizio devi creare una distribuzione CloudFront, configurare la tua origine (qualsiasi origine che abbia un nome di dominio accessibile al pubblico), emettere e allegare un certificato TLS valido utilizzando Amazon Certificate Manager, quindi configurare il tuo server DNS autorevole in modo che punti il nome di dominio della tua applicazione web al nome di dominio generato dalla distribuzione (xyz.cloudfront.net). Durante la fase di risoluzione DNS, quando gli utenti accedono alla tua applicazione web, viene indirizzata una richiesta dinamica HTTP(S) al miglior PoP di CloudFront in termini di latenza e disponibilità. Una volta selezionato il PoP, l'utente termina la connessione TCP, incluso l'handshake TLS, su uno dei server del PoP e quindi invia la richiesta HTTP. Se il contenuto è memorizzato nella cache in uno dei livelli di cache di CloudFront, la richiesta sarà soddisfatta localmente da CloudFront. In caso contrario, la richiesta viene inoltrata all'origine. L’infrastruttura di CloudFront è composta da due livelli. Il primo livello è basato sulle posizioni edge, in cui le connessioni degli utenti vengono interrotte e gli attacchi DDoS di livello 3/4 sono mitigati. Questo livello fornisce funzionalità di memorizzazione nella cache e, se configurate, eseguono le funzioni CloudFront e applicano le regole WAF. Il secondo livello è basato sulle cache edge regionali, ospitate nelle Regioni AWS. Questo livello fornisce tempi di conservazione della cache più lunghi, migliora la percentuale di riscontri della cache ed esegue le funzioni Lambda@Edge quando configurato. CloudFront ottimizza dinamicamente l'uso di questi livelli per ogni HTTP in base alla sua natura. Ad esempio, le richieste HTTP contrassegnate come dinamiche (ad esempio memorizzazione nella cache disabilitata, richieste POST/PUT/DELETE, richieste di oggetti contrassegnati come non memorizzabili nella cache utilizzando l'intestazione di risposta Cache-Control, ecc.) saltano i livelli di memorizzazione nella cache e, di conseguenza, vengono inviate dalle posizioni edge direttamente all'origine.
Infine, CloudFront esegue la logica in un ordine specifico. CloudFront esegue prima i suoi controlli di sicurezza nativi (ad esempio policy TLS, reindirizzamento da HTTP a HTTPS, blocco geografico, URL firmati), poi esegue le regole di una WebACL di AWS WAF se configurata, quindi esegue il codice di una funzione edge se configurata sull'evento di richiesta del visualizzatore, in seguito controlla se la richiesta è memorizzabile nella cache, esegue il codice di Lambda@Edge se configurato sull'evento di richiesta di origine e, infine, se necessario, inoltra la richiesta all'origine. Per saperne di più sul ciclo di vita di una richiesta HTTP all'interno dei livelli di CloudFront, guarda il seguente intervento su re:Invent. Tieni presente che la funzionalità Funzioni CloudFront non era ancora stata lanciata quando l’intervento è stato registrato.

AWS WAF per proteggere le applicazioni web a livello 7

AWS WAF è un Web Application Firewall che può essere utilizzato per proteggere le applicazioni web dalle minacce a livello di applicazione. Le minacce a livello di applicazione includono:

  • Attacchi DDoS (ad esempio flood HTTP) che mirano a consumare le risorse dell'applicazione per renderla indisponibile agli utenti legittimi. 
  • Attacchi che tentano di sfruttare le vulnerabilità a livello di applicazione e quindi di condurre attività dannose, come il furto di dati o l'utilizzo delle risorse in modo non autorizzato, come il mining di bitcoin. 
  • Attacchi condotti da bot automatici che possono danneggiare la tua azienda in diversi modi, ad esempio l'acquisizione di account e lo scraping dei contenuti. 

Per utilizzare AWS WAF, è necessario creare regole in una WebACL e collegarla alle risorse che necessitano di protezione. Le WebACL globali possono essere collegate alle distribuzioni CloudFront, mentre le WebACL regionali possono essere collegate a risorse all'interno della stessa regione, come ALB e gateway API. Quando una WebACL WAF è collegata a una risorsa, il servizio sottostante della risorsa (ad esempio CloudFront o ALB) invia una copia della richiesta HTTP al servizio AWS WAF per valutare le regole configurate entro un millisecondo. In base alla valutazione delle regole, il servizio AWS WAF indica al servizio sottostante come elaborare la richiesta (ad esempio blocca, inoltra, sfida, ecc.). Tieni presente che la logica di AWS WAF si basa esclusivamente sugli attributi di richiesta HTTP (invece che agli attributi di risposta).

Una WebACL di WAF appena creata contiene solo una regola predefinita che consente tutte le richieste, a cui è possibile aggiungerne altre di diverso tipo. Per prima cosa, puoi creare regole personalizzate basate sugli attributi (ad esempio IP, intestazioni, cookie, URL, ecc.) della richiesta HTTP ispezionata. Le regole possono anche essere raggruppate in gruppi di regole per facilitarne la gestione. In secondo luogo, puoi aggiungere le Regole gestite di AWS o di fornitori sul Marketplace AWS, che vengono aggiunte come gruppi di regole configurabili alla tua WebACL. Ad esempio, puoi aggiungere Gruppi Gestiti AWS come Regola Core Impostata e Lista IP Anonimi. Le regole gestite più avanzate, come Rilevamento dei botl e Prevenzione Acquisizione Account, richiedono l'integrazione dell'SDK lato client. Le regole possono essere configurate con le seguenti azioni in fase di abbinamento: Allow and Count (con la possibilità di inviare le intestazioni a monte), Block (con la possibilità di rispondere con una risposta personalizzata), Rate Limit e infine Challenge, tramite CAPTCHA o sfide silenziose. Le regole, come le Regole Gestite AWS, emettono etichette che potrebbero essere utilizzate nella logica delle regole successive se raggiunte dalla valutazione WAF. Puoi configurare le tue regole per emettere etichette, che saranno disponibili nei record di log di WAF.

AWS Global Accelerator, un'accelerazione a livello di rete

AWS Global Accelerator è un servizio di rete che migliora le prestazioni, l'affidabilità e la sicurezza delle tue applicazioni online utilizzando l’Infrastruttura globale AWS. Dato che AWS Global Accelerator opera al livello 4 del modello OSI, può essere utilizzato con qualsiasi applicazione TCP/UDP. I casi d'uso di esempio includono: giochi multiplayer basati su UDP/TCP, Voice and Video over IP (VoIP), IoT, acquisizione di video e caricamenti FTP e altri casi d'uso come VPN, Git e offerte AdTech. 

AWS Global Accelerator può essere distribuito davanti ai tuoi Network Load Balancer, Application Load Balancer, istanze AWS EC2 e IP elastici, ognuno dei quali potrebbe fungere da endpoint regionale per la tua applicazione. Per utilizzare questo servizio, crea un acceleratore che fornisca due indirizzi IPv4 anycast statici globali che fungano da punto di ingresso fisso all'applicazione. Con Global Accelerator puoi avere più endpoint applicativi presenti in una o più Regioni AWS, ma è possibile accedervi a tutti tramite lo stesso indirizzo IP anycast. In seguito, configura il tuo server DNS autorevole per indirizzare il nome di dominio della tua applicazione web agli IP statici dedicati dell'acceleratore. Questi IP anycast vengono annunciati in tutti i PoP di Global Accelerator per instradare il traffico degli utenti al PoP più vicino, per poi inoltrarlo all'endpoint regionale tramite la rete globale AWS.

Risorse di apprendimento per gli sviluppatori

Tipo di contenuti
Showing results: 1-9
Total results: 17
  • Priorità
  • Back to Basics: Accelerate and protect your websites using Amazon CloudFront and AWS WAF

    Internet users increasingly expect responsive web applications and APIs with lower latency and higher availability. Additionally, publicly accessible web applications and APIs are exposed to threats such as commonly occurring vulnerabilities described in the OWASP Top 10, SQL injection, automated requests, and HTTP floods (Denial of Service (DoS)) that can affect availability, compromise security, or consume excessive resources. Developers looking to keep their web application performant, resilient, and secure, introduce Amazon CloudFront‘s global edge network with AWS WAF to their hosting infrastructure. Both services protect web applications from being exposed to potential attacks and being vulnerable to unpredictable traffic spikes that impact performance and availability. In this post, you learn the basic concepts of configuring CloudFront and AWS WAF to add them to your web application technology stack.
    Blog
    2023-09-12
  • How to boost the performance and security of your dynamic websites with AWS edge services in a few steps

    Customers use AWS edge services to improve the performance and the security of their websites. In certain cases, they appreciate being able to quickly set up a Content Delivery Network (CDN) and a Web Application Firewall (WAF) to stop a DDoS attack targeting their website, or to decrease page load times. And they prefer doing this without investing time beforehand to read the service documentation and configure everything from scratch. If this resonates with you, then you should benefit from reading this post. In this post, you deploy just a few clicks, using an AWS CloudFormation template, an Amazon CloudFront distribution as a reverse proxy to your origin servers, protected by an AWS WAF WebACL. CloudFormation is a service that takes care of provisioning and configuring resources described in a YAML configuration template. CloudFront helps you accelerate your website thanks to caching when it applies, advanced internet protocols (e.g., HTTP3, TL1.3), and the AWS Global network. CloudFront natively protects your application against infrastructure DDoS attacks, and it integrates with AWS WAF to allow you to write rules for managing threats at application layer.
    Blog
    2023-09-27
  • CloudFront Hosting Toolkit

    Now with CloudFront Hosting Toolkit, you can quickly deploy well-architected front-ends on AWS while retaining full control of the underlying cloud infrastructure. CloudFront Hosting Toolkit automatically creates the required infrastructure resources in your AWS account and configures Git-based deployments to deploy applications within minutes—without the need for you to have prior AWS experience. You can take full control over the underlying AWS resources to tailor your application to your exact needs by modifying elements of the existing infrastructure rather than starting from scratch.
    Blog
    2024-06-04
  • Getting started with AWS WAF- Service Overview

    AWS WAF is a web application firewall that helps protect your applications or APIs against common web exploits and bots that may affect availability, compromise security, or consume excessive resources. You can control how traffic reaches your applications based on security rules to manage bot traffic and block common attack patterns. You can deploy AWS WAF on Amazon CloudFront as part of your CDN solution, the Application Load Balancer that fronts your web servers or origin servers running on EC2, Amazon API Gateway for your REST APIs, or AWS AppSync for your GraphQL APIs. With AWS WAF, you pay only for what you use and the pricing is based on how many rules you deploy and how many web requests your application receives.
    Short Video
    2022-09-29
  • Getting started with AWS Shield Advanced

    Learn how to get started with AWS Shield, a managed Distributed Denial of Service (DDoS) protection service that safeguards applications running on AWS. Shield provides dynamic detections and automatic inline mitigations that minimize application downtime and latency. Learn more about AWS Shield - https://go.aws/3kGpNgN In this video, you’ll learn how to enable AWS Shield Advanced to get additional tailored detection and mitigation against large and sophisticated DDoS attacks, near real-time visibility into attacks, and AWS Firewall Manager and AWS WAF at no additional cost for usage on resources protected by AWS Shield Advanced as described on the Shield pricing page. Shield Advanced provides a higher level of protection against attacks targeting your applications running on Amazon EC2 with associated Elastic IP addresses, Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, and Amazon Route 53 resources. Shield Advanced also gives you 24x7 access to the AWS Shield Response Team (SRT) and cost protection against DDoS related spikes in your Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator, and Amazon Route 53 charges.
    Short Video
    2021-11-15
  • Getting started with AWS WAF- Common Configuration Patterns

    AWS WAF is a web application firewall that helps protect your applications or APIs against common web exploits and bots that may affect availability, compromise security, or consume excessive resources. You can control how traffic reaches your applications based on security rules to manage bot traffic and block common attack patterns. You can deploy AWS WAF on Amazon CloudFront as part of your CDN solution, the Application Load Balancer that fronts your web servers or origin servers running on EC2, Amazon API Gateway for your REST APIs, or AWS AppSync for your GraphQL APIs. With AWS WAF, you pay only for what you use and the pricing is based on how many rules you deploy and how many web requests your application receives.
    Short Video
    2023-02-03
  • CloudFront Foundation I

    In this workshop you will learn how to set up CloudFront, and optimize the performance of your application.
    Workshop
    2023-07-13
  • CloudFront Foundation II

    In this workshop you will learn how to improve improve the security and resilience of your application.
    Workshop
    2023-07-13
  • AWS Shield Advanced

    This workshop is part of an Immersion day about "AWS Shield Advanced" please refer to your AWS contacts to know more about this Immersion Day. AWS Shield is a managed Distributed Denial of Service (DDoS) protection service that safeguards applications running on AWS. AWS Shield provides always-on detection and automatic inline mitigations that minimize application downtime and latency. Since the DDoS protection is automatic, you can expect minimum engagement with AWS Support. There are two tiers of AWS Shield - Standard and Advanced. All AWS customers benefit from the automatic protections of AWS Shield Standard, at no additional charge. AWS Shield Standard defends against most common, frequently occurring network and transport layer DDoS attacks that target your web site or applications. When you use AWS Shield Standard with Amazon CloudFront and Amazon Route 53, you receive comprehensive availability protection against all known infrastructure (Layer 3 and 4) attacks. For higher levels of protection against attacks targeting your applications running on Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator and Amazon Route 53 resources, you can subscribe to AWS Shield Advanced. In addition to the network and transport layer protections that come with Standard, AWS Shield Advanced provides additional detection and mitigation against large and sophisticated DDoS attacks, near real-time visibility into attacks, and integration with AWS WAF, a web application firewall. AWS Shield Advanced also gives you 24x7 access to the AWS Shield Response Team (SRT) and protection against DDoS related spikes in your Amazon Elastic Compute Cloud (EC2), Elastic Load Balancing (ELB), Amazon CloudFront, AWS Global Accelerator and Amazon Route 53 charges.
    Workshop
    2023-12-01
1 2

Questa pagina ti è stata utile?