Como permitir que apenas solicitações do API Gateway atinjam nossas instâncias do EC2

7

Temos várias instâncias do EC2 que hospedam nossos microsserviços. O grupo de servidores de dimensionamento automático possui um ELB. Todo o tráfego é roteado pelo AWS API Gateway. O problema é que o ELB tem sua porta HTTPS aberta ao mundo.

Como proteger nossos servidores, para que o tráfego só possa passar pelo API Gateway?

amazon-web-services security Evgeny
fonte

Respostas:

6

Desde novembro de 2017, agora é possível interagir diretamente com os servidores em um VPC \ o /

Vejo:

Maxime Thoonsen
fonte
11
Você pode tentar adicionar mais algumas informações do aws doc, caso o aws mova o documento para que o futuro leitor possa pesquisar um termo específico para encontrá-lo novamente, se o link quebrar.
Tensibai
4

A melhor proteção para seus servidores, se você não quiser expor seus HTTPS ao mundo, seria isolá-los em uma VPC .

No entanto, o API Gateway não pode ser configurado para interagir diretamente com os servidores em uma VPC / sub-rede (ainda). Para contornar essa limitação, você pode proxy seu tráfego do API Gateway através do AWS Lambda para alcançar a VPC. O blog da AWS possui uma excelente postagem no blog que explica exatamente como fazê-lo.

Isolar seus servidores em uma VPC será mais seguro do que mantê-los na Internet pública e tentar criar algo para detectar se o tráfego é legítimo (proveniente do gateway da API).

Alexandre
fonte
A proxy através do Lambda seria extremamente cara para qualquer API moderadamente ativa. Deve haver opções melhores do que isso.
precisa
11
Extremamente caro? Como assim? Você pode compartilhar suas estatísticas de uso?
Alexandre
11
Digamos 150 milhões de execuções por mês, até 400ms por solicitação. Selecionando o tipo Lambda de 128mb de menor desempenho. A calculadora em s3.amazonaws.com/lambda-tools/pricing-calculator.html mostra cerca de US $ 150 / mês. Na verdade, não é extremamente caro, mas também não é insignificante.
Evgeny