SUMMIT...•Protection contre toutes les attaques DDoS au niveau réseau (L3) et transport (L4). •...

S U M M I TP A R I S

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Améliorer l’architecture de votre application en ligne grâce au CDN Amazon CloudFront

Achraf SoukSolutions Architect, Edge ServicesAmazon Web Services

N E T 1 0 1


Agenda

Cas d’usage et infrastructure de CloudFront

Bénéfices pour votre application:

- Performances- Sécurité- Fiabilité- Optimisation de coûts - Excellence opérationnelle


Cas d’usage avec CloudFront

Site web Accélération d’API Lambda@Edge

Objets statiques Vidéo streaming Téléchargement de gros fichiers


tp5fhflpy.cloudfront.net?

CloudFront DNS

CloudFront POP

La vie d’une requête HTTP

tp5fhflpy.cloudfront.net

enregistrement CNAME dans DNS


Accélération des requêtes – sans CloudFront (1/2)

-> 200ms

OrigineParis

100ms

UtilisateurUSA


Accélération des requêtes – avec CloudFront (2/2)

20ms 80ms

CloudFront Edgelocation USA Origine

Paris

GET /logo.jpg

SYN-ACK

200 OK

cache miss -> 120ms2x accélération

cache hit -> 40ms5x accélération

UtilisateurUSA


Consolidation de requêtes

POP REC Origin

POP


Fonctionnalités avancés

TCP/TLS Timeouts Domaine unique

HTTP/2 Compression gzip

Contrôle du cache


Sécurité intégrée

• Protection contre toutes les attaques DDoS au niveau réseau (L3) et transport (L4).

• Protection contre les attaques abus de SSL et requêtes HTTP malformées.

• Certifications: PCI DSS Level 1, FedRAMP(Agency ATO), SOC, ISO 9001, 27001, 27017, 27018, GDPR


HTTPS pour des connexions sécurisées

• Redirection HTTP vers HTTPS au plus près de l’utilisateur

• Contrôle de la politique TLS• Options avancés de TLS: session

resumption, OSCP stapling & Perfect Forward Secrecy

https://summitparis19.fr


Amazon Certificate Manager

• Gestion centrale de certificat pour les services AWS

• Certificats gratuits

• Facilité d’émission

• Gestion automatique de

reconduction de certificat


Réduire l’accès externe à votre origine

S3 Origin Access Identity

• Interdit l’accès direct à votre bucket S3

• Les URLs S3 ne sont pas accessibles directement

Security Groups sur L’origine

• Autoriser uniquement les adresses IP de CloudFront

• Protège l’origine

CloudFront ALB EC2CloudFront S3


Contrôler l’accès au contenu

• Geoblocking• URLs signées • Cookies signées


Services de sécurité additionnels

Shield Advanced

AWS DDoS Response Team pour assistance, protections avancées, WAF inclus, visibilité

sur les attaques et protection financière

AWS WAF

SQLi, XSS, rate limiting, geoblocking rules, string/regex matching, ip rules


Accélération d’API - Slack

• Slack héberge son API derrière un ALB pour servir des fichiers json avec plus de 10 milliards de requêtes par semaine. Ils cherchaient un solution de protection DDoS.

• Slack a choisi CloudFront pour sa stabilité, flexibilité et intégration dans l’eco-systèmeAWS.

Temps de réponse moyen est réduit de 480ms à 200ms


Résolution DNS (1/2)

Résolveur

POP

Performance

Capacity de serveurs

Santé de POP

Capacité réseau


Résolution DNS (2/2)


Quand l’origine n’est plus disponible (1/2)


Quand l’origine n’est plus disponible (2/2)


Configuration Self-Service

.NET, Java, PHP, Node.js, Python, Go, Ruby

AWS Toolkits for Eclipse,

Visual Studio

AWS CLIAWS Management

Console

AWSCloudFormation

AWS CodePipeline


Métriques CloudWatch


Logs – Format (1/2)


Logs - Analyse avec Amazon Athena (2/2)

SELECT COUNT(*) AS ct, uri FROMcloudfront_logs_2 WHERE status > 500 GROUP BY uri ORDER BY ct DESC;

SELECT COUNT(*) AS ct, requestip FROMcloudfront_logs_2 WHERE status = 404 GROUP BY requestip ORDER BY ct DESC;

Amazon Athena

Amazon CloudFrontAccess Logs

Amazon S3

Query Data


Rapports CloudFront


Composantes du prix (1/2)

CloudFront

Prix par Requête Origin

Data transferout vers internet

Data transferout vers l’origine

Internet

Gratuit


Composantes du prix (2/2)

Inclus

• 3000 Invalidations• Geo-blocking• ACM• Failover• URL signés• Regional Edge Cache• Logs• AWS Shield Standard

Coûts en plus

• Field Level Encryption• Dedicated IP for SSL• Lambda@Edge• AWS WAF• AWS Shield Advanced


Pensez à CloudFront par défaut pour toute application HTTP exposée sur internet!


Merci!Achraf [email protected]

SUMMIT...•Protection contre toutes les attaques DDoS au niveau réseau (L3) et transport (L4). •...

Documents

Transcript of SUMMIT...•Protection contre toutes les attaques DDoS au niveau réseau (L3) et transport (L4). •...