Есть ли необходимость в WAF в статическом интерфейсе сайта с REST API?
У меня есть два веб-сайта
www.mysite.com. -->hosted on s3, подается через приложение Cloudfront статическое одностраничное.Тогда у меня есть
api.mysite.com, который использует передний конец.
Моя компания использует WAF solution от сторонних и текущих монолитных приложений защищены этим.
Для нового сайта я поставил api.mysite.com за WAF, но я не уверен, нужно ли мне ставить статический сайт за WAF или нет?
В основном это касается защиты сайта от DDOS-атак или ботов и т. Д. У нас было много атак раньше, поэтому я хочу убедиться, что я все делаю правильно.
1 ответ
Хотя WAF в основном используется для защиты активных веб-сайтов, форм, API-интерфейсов и т. Д., Иногда необходимо использовать WAF и перед общедоступным статическим контентом.
Например: Как предотвратить хотлинкинг с помощью AWS WAF, Amazon CloudFront и Referer Checking
Другой вариант использования может быть в том случае, если часть вашего статического контента не является полностью общедоступной (например, полагается на сложные случайные имена файлов - не то, чтобы это обеспечивало большую безопасность), и вы хотите ограничить попытки грубого доступа - вот где WAF также может помочь.
Итак, ответ на ваш вопрос: да, иногда WAF может использоваться для статического контента. Однако это довольно специфические случаи использования, и я не могу сказать, имеет ли это отношение к вашему сайту.
С другой стороны, даже если вы начинаете без WAF, а потом обнаруживаете, что с вашим статическим контентом происходит что- то неожиданное, что может быть решено с помощью WAF, вы можете включить его тогда. Это не обязательно решение, которое вам нужно принять в самом начале.
Надеюсь, это поможет:)