APIゲートウェイを使用して公開されているAPIを作成しています。これには、処理を行うためのラムダ関数が付いています。私は、リプレイ攻撃から保護するためにタイムスタンプ付きのhmac認証を実装するカスタムセキュリティヘッダーでセキュリティを確保しました。 私は、API Gatewayが高可用性によってDDoS攻撃から保護することを理解していますが、無効なリクエストは引き続きラムダ認証機能に渡されます。だから、私は、攻撃者が不正な認証されていないリクエストを提出して高コストを招くと思います。それは損害を引き起こすためにかなりの数の要求を必要とするが、それはまだ非常に実行可能である。それを防ぐ最善の方法は何ですか? ありがとうラムダ統合による安全なAWS APIゲートウェイ
API Gatewayは認証されていないリクエストに対しては料金を請求しませんが、承認者の呼び出しにはLambdaが請求します。
API Gatewayは、この問題に対する半有用な緩和をAuthorizer上の「ID検証式」の形式で提供します。これは、受信したIDソースヘッダーと一致する単なる正規表現です。
さらに、請求されたミリ秒を最小限に抑えるために、ある種のネガティブキャッシュやオーサライザ機能をオーサライザ機能で実装するだけでよいでしょう。
ありがとう、ジャック、私はそれらのオプションを試してみますが、私は間違っている場合、私はこれが部分的に問題を解決するように感じるので、私を修正してください。無作為な(そして無効な)認証トークンを生成し、それにAPIゲートウェイを氾濫させて組織に高い課金コストをもたらす自動化された攻撃から完全に保護する方法はありますか?トークンをランダム化するスクリプトがこれらの解決策を打破できると思いますか? – user7400346
私の挑戦は、セキュリティ資格が動的に割り当てられているポータルに顧客が登録することです。おそらく、アマゾンSDKを使用して防衛の第一線としてAPIキーをオンザフライで作成しますか?アマゾンは失敗したAPIキーを請求しますか? – user7400346
失敗したAPIキーについては無料です –
これはhttp://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-pricing.htmlを参照してください。これは、ラムダ承認者によってトリガーされた許可されていないリクエストに課金されていないことを意味しますか? – user7400346