У меня есть экземпляр Linux на машине AWS t2.micro, с 2 миллионами операций ввода-вывода.
Если я правильно понял (дайте мне знать, если я не понял), 2 миллиона операций ввода-вывода означают, что бесплатный сервис позволяет обслуживать 2 миллиона ìndex.php .
У меня вопрос, как я могу защитить свой сервер, чтобы избежать массовых обращений и запросов.
Спасибо за совет.
Сначала давайте посмотрим на объяснение AWS того, на что вы ссылаетесь здесь:
https://aws.amazon.com/ec2/pricing/
30 ГБ Amazon Elastic Block Storage в любой комбинации универсального (SSD) или магнитного, плюс 2 миллиона операций ввода-вывода (с магнитным) и 1 ГБ хранилища снимков
Эти операции ввода / вывода предназначены для прямого доступа к диску, и поскольку ваш файл index.php будет кэшироваться и загружаться в память, в зависимости от того, что делает ваш файл index.php, он вряд ли повлияет на ваш ввод / вывод.
Один из способов проверить и отследить вашу озабоченность по поводу внезапного всплеска обращений и запросов - запустить популярную утилиту Bees with Machine Guns (https://github.com/newsapps/beeswithmachineguns) в своем веб-приложении и отслеживать влияние в CloudWatch. CloudWatch по умолчанию отслеживает с шагом 5 минут, так что наберитесь терпения; если вы переключите CloudWatch на мониторинг с интервалом в 1 минуту, с вас будет взиматься дополнительная плата, поэтому будьте осторожны. Обратите внимание, что, поскольку вы в основном будете использовать атаку типа «отказ в обслуживании» на своем экземпляре, вам необходимо получить разрешение от AWS на предварительное выполнение теста или рискнуть заблокировать свою учетную запись AWS. (https://aws.amazon.com/security/penetration-testing)
Я думаю, что самый простой и, вероятно, самый дешевый способ защитить ваш сервер от нежелательных всплесков трафика или от полномасштабной атаки DDoS (распределенный отказ в обслуживании) - это использовать управляемый сервис, такой как CloudFlare.com. Конечно, вы можете использовать устройство безопасности, такое как Sophos UTM 9 или Imperva, но вам нужно знать, как настроить и поддерживать его, в дополнение к дополнительным затратам на почасовую оплату и лицензию.
AWS недавно анонсировала AWS WAF (брандмауэр веб-приложений), но, похоже, вам нужно связать его с CloudFront. (https://aws.amazon.com/blogs/aws/new-aws-waf)
Если вы не хотите использовать какие-либо другие инструменты, вам придется постоянно отслеживать ваше веб-приложение и блокировать нежелательные запросы, когда они приходят с использованием виртуальной частной сети (VPC) и контроля доступа к сети (NACL) в ваших подсетях VPC. Хотя это сработает, вы можете оказаться в игре "бей-моль", если ваш сайт подвергается частым атакам.
Наконец, лучший способ защитить ваш сайт - это использовать несколько уровней безопасности (AKA Defense in Depth), поэтому, если вы не уверены, как это сделать, я рекомендую взять чашку кофе (или две) и начать обучение в OWASP (The Откройте проект безопасности веб-приложений). (Www.owasp.org)
