AWS Cloudfront für VPC/VPN
Unterstützt AWS erlauben den Einsatz von Cloudfront für die Webseiten-Nutzung, zB:- caching von web-Seiten.
Website zugegriffen werden soll, innerhalb der corporate VPN nur. Ist es eine gute Idee, um cache-Webseiten auf cloudfront, wenn mit der Anwendung eingeschränkt innerhalb eines Netzwerks?
- Es ist Art von seltsam, dass diese Frage angezeigt wurde über 700 mal, aber wie geschrieben, niemand hat von Ihnen positiv bewertet werden, die Frage, oder eine der 2 Antworten.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Als @daxlerod Punkte aus, ist es möglich, den relativ neuen Web-Application-Firewall service mit CloudFront, um den Zugriff auf den Inhalt, zum Beispiel nach IP-Adressbereichen.
Und, natürlich, es gibt keine Anforderung, dass die Website tatsächlich gehostet AWS um CloudFront vor.
Jedoch, "wird es funktionieren?" und "sind alle Implikationen von der gewünschten Konfiguration akzeptabel, aus Sicht der Sicherheit?" sind zwei verschiedene Fragen.
Um CloudFront auf einer Website, die Ursprungs-server (web-server, wo CloudFront holt Inhalten, die nicht im cache des edge-Knoten, wo der Inhalt angefordert wird), die aus dem Internet zugegriffen werden, um CloudFront zu verbinden, was bedeutet, dass Ihre private Website hat, werden ausgesetzt, bis zu einem gewissen Grad in das Internet.
Dem CloudFront-IP-Adressbereiche sind öffentliche Informationen, so dass man teilweise den sicheren Zugriff auf die origin-server mit dem Ursprungs-server, die firewall, aber das verhindert nur den Zugriff von überall andere als durch CloudFront -- und das ist nicht genug, denn wenn ich wusste, dass der name Ihrer "gesicherten" server, ich könnte meine eigene CloudFront-distribution und-Zugriff durch CloudFront, da die IP-Adressen im gleichen Bereich.
Den Mechanismus CloudFront sorgt dafür, dass Anträge aus und durch einen autorisierten CloudFront-Verteilung ist benutzerdefinierte origin-Header, die es erlaubt CloudFront zu injizieren einer unbekannten benutzerdefinierte header und geheimen Wert in jeder Anfrage sendet Ihr Ursprungs-server zu ermöglichen, Ihren server zu authentifizieren, die Tatsache, dass die Anfrage kam nicht nur von CloudFront, sondern von Ihrer spezifischen CloudFront-Verteilung. Der origin-server würde Aufträge ablehnen, die nicht in Begleitung dieser header, ohne Erklärung, natürlich.
Sehen http://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/forward-custom-headers.html#forward-custom-headers-restrict-access.
Und, natürlich, müssen Sie https zwischen dem browser und CloudFront und https zwischen CloudFront-und die origin-server. Es ist möglich zu konfigurieren CloudFront verwenden (oder müssen) https auf der Vorderseite oder der Rückseite separat, so dass Sie wollen, um sicherzustellen, dass es entsprechend konfiguriert für beide, wenn die Sicherheitsaspekte, die oben angesprochen machen es eine praktikable Lösung für Ihre Bedürfnisse.
Für Informationen, die nicht sehr empfindlich sind, scheint dies ein vernünftiger Ansatz, wenn die Zwischenspeicherung oder sonstige Merkmale von CloudFront von Vorteil wäre, um Ihre Website.
Ja, Sie CloudFront ist konzipiert als caching-layer in front of a web site.
Wenn Sie den Zugriff einschränken möchten, um CloudFront verwenden, können Sie die Web-Application-Firewall service.
Setzen Sie Ihre website in das öffentliche Netz > In der CloudFront-Verteilung befestigen Sie die WAF-Regeln > In die WAF-Regeln whitelist Reichweite Ihres Unternehmens IP-Adresse und blacklist alles andere