AWS是否允许使用Cloudfront进行网站使用,例如: - 缓存网页。 网站只能在公司VPN中访问。在一个网络中使用受限制的应用程序时,将网页缓存在云端是否是一个好主意?
答案 0 :(得分:16)
正如@daxlerod指出的那样,可以在CloudFront中使用相对较新的Web Application Firewall服务来限制对内容的访问,例如,通过IP地址范围。
当然,并不要求网站实际托管在AWS内部,以便在其前面使用CloudFront。
然而,“它会起作用吗?”并且“从安全角度来看,所需配置的所有含义是什么?”是两个不同的问题。
为了在网站上使用CloudFront,必须可以从Internet访问源服务器(CloudFront在其中提取不在请求内容的边缘节点的缓存中的内容的Web服务器),订购CloudFront以连接到它,这意味着您的私人网站必须在某种程度上暴露给互联网。
CloudFront IP地址范围是公共信息,因此您可以使用源服务器的防火墙部分保护对原始服务器的访问,但这只能阻止通过CloudFront以外的任何地方进行访问 - 这是不够的,因为如果我知道您的“安全”服务器的名称,我可以创建自己的CloudFront分配并通过CloudFront访问它,因为IP地址将在相同的范围内。
CloudFront提供的机制可确保来自授权CloudFront分配的请求来自自定义源头,这允许CloudFront将未知的自定义头和秘密值注入其发送到源服务器的每个请求中,以允许您的服务器验证请求不仅来自CloudFront,而且来自您的特定CloudFront分配。你的原始服务器会拒绝没有这个标题的请求,当然没有解释。
当然,您需要在浏览器和CloudFront之间使用https,在CloudFront和原始服务器之间使用https。可以将CloudFront配置为分别在正面或背面使用(或要求)https,因此,如果上述安全注意事项使其成为满足您需求的可行解决方案,则需要确保为两者配置适当的https。
对于不是非常敏感的信息,如果CloudFront的缓存或其他功能对您的网站有益,这似乎是一种明智的做法。
答案 1 :(得分:2)
是的,您将CloudFront设计为网站前的缓存层。
如果您想限制对CloudFront的访问,可以使用Web Application Firewall服务。
答案 2 :(得分:0)
将您的网站置于公共网络>在CloudFront分配中,附加WAF规则>在WAF规则中,将公司的IP列入白名单并将其他所有内容列入黑名单