SUMMIT...•Protection contre toutes les attaques DDoS au niveau réseau (L3) et transport (L4). •...
Transcript of SUMMIT...•Protection contre toutes les attaques DDoS au niveau réseau (L3) et transport (L4). •...
S U M M I TP A R I S
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Améliorer l’architecture de votre application en ligne grâce au CDN Amazon CloudFront
Achraf SoukSolutions Architect, Edge ServicesAmazon Web Services
N E T 1 0 1
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Agenda
Cas d’usage et infrastructure de CloudFront
Bénéfices pour votre application:
- Performances- Sécurité- Fiabilité- Optimisation de coûts - Excellence opérationnelle
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T 166 PoPs dans le monde
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Cas d’usage avec CloudFront
Site web Accélération d’API Lambda@Edge
Objets statiques Vidéo streaming Téléchargement de gros fichiers
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
tp5fhflpy.cloudfront.net?
CloudFront DNS
CloudFront POP
La vie d’une requête HTTP
tp5fhflpy.cloudfront.net
enregistrement CNAME dans DNS
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Accélération des requêtes – sans CloudFront (1/2)
-> 200ms
OrigineParis
100ms
UtilisateurUSA
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Accélération des requêtes – avec CloudFront (2/2)
20ms 80ms
CloudFront Edgelocation USA Origine
Paris
GET /logo.jpg
SYN-ACK
200 OK
cache miss -> 120ms2x accélération
cache hit -> 40ms5x accélération
UtilisateurUSA
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Consolidation de requêtes
POP REC Origin
POP
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Fonctionnalités avancés
TCP/TLS Timeouts Domaine unique
HTTP/2 Compression gzip
Contrôle du cache
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Sécurité intégrée
• Protection contre toutes les attaques DDoS au niveau réseau (L3) et transport (L4).
• Protection contre les attaques abus de SSL et requêtes HTTP malformées.
• Certifications: PCI DSS Level 1, FedRAMP(Agency ATO), SOC, ISO 9001, 27001, 27017, 27018, GDPR
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
HTTPS pour des connexions sécurisées
• Redirection HTTP vers HTTPS au plus près de l’utilisateur
• Contrôle de la politique TLS• Options avancés de TLS: session
resumption, OSCP stapling & Perfect Forward Secrecy
https://summitparis19.fr
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Amazon Certificate Manager
• Gestion centrale de certificat pour les services AWS
• Certificats gratuits
• Facilité d’émission
• Gestion automatique de
reconduction de certificat
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Réduire l’accès externe à votre origine
S3 Origin Access Identity
• Interdit l’accès direct à votre bucket S3
• Les URLs S3 ne sont pas accessibles directement
Security Groups sur L’origine
• Autoriser uniquement les adresses IP de CloudFront
• Protège l’origine
CloudFront ALB EC2CloudFront S3
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Contrôler l’accès au contenu
• Geoblocking• URLs signées • Cookies signées
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Services de sécurité additionnels
Shield Advanced
AWS DDoS Response Team pour assistance, protections avancées, WAF inclus, visibilité
sur les attaques et protection financière
AWS WAF
SQLi, XSS, rate limiting, geoblocking rules, string/regex matching, ip rules
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Accélération d’API - Slack
• Slack héberge son API derrière un ALB pour servir des fichiers json avec plus de 10 milliards de requêtes par semaine. Ils cherchaient un solution de protection DDoS.
• Slack a choisi CloudFront pour sa stabilité, flexibilité et intégration dans l’eco-systèmeAWS.
Temps de réponse moyen est réduit de 480ms à 200ms
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Résolution DNS (1/2)
Résolveur
POP
Performance
Capacity de serveurs
Santé de POP
Capacité réseau
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Résolution DNS (2/2)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Quand l’origine n’est plus disponible (1/2)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Quand l’origine n’est plus disponible (2/2)
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Configuration Self-Service
.NET, Java, PHP, Node.js, Python, Go, Ruby
AWS Toolkits for Eclipse,
Visual Studio
AWS CLIAWS Management
Console
AWSCloudFormation
AWS CodePipeline
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Métriques CloudWatch
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Logs – Format (1/2)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Logs - Analyse avec Amazon Athena (2/2)
SELECT COUNT(*) AS ct, uri FROMcloudfront_logs_2 WHERE status > 500 GROUP BY uri ORDER BY ct DESC;
SELECT COUNT(*) AS ct, requestip FROMcloudfront_logs_2 WHERE status = 404 GROUP BY requestip ORDER BY ct DESC;
Amazon Athena
Amazon CloudFrontAccess Logs
Amazon S3
Query Data
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Rapports CloudFront
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Composantes du prix (1/2)
CloudFront
Prix par Requête Origin
Data transferout vers internet
Data transferout vers l’origine
Internet
Gratuit
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Composantes du prix (2/2)
Inclus
• 3000 Invalidations• Geo-blocking• ACM• Failover• URL signés• Regional Edge Cache• Logs• AWS Shield Standard
Coûts en plus
• Field Level Encryption• Dedicated IP for SSL• Lambda@Edge• AWS WAF• AWS Shield Advanced
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Pensez à CloudFront par défaut pour toute application HTTP exposée sur internet!
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Merci!Achraf [email protected]