A seguir estão minhas suposições baseadas nos documentos da AWS. É apenas porque os documentos não respondem precisamente às minhas perguntas que estou perguntando aqui.
AWS WAF (usado diretamente ou por meio do Shield Advanced) é o que a AWS fornece como serviço.
A estrutura de preços do WAF significa que cada solicitação incorre em um custo, mesmo de IPs que ele decida bloquear, pois ainda precisa processar e responder. Conseqüentemente, um ataque DDoS pode resultar em um aumento de custos.
Serviços como Route53 e CloudFront têm o AWS Shield Standard habilitado por padrão, que protege apenas contra ataques DDoS de camada 3/4.
Questões:
- Minhas suposições estão corretas?
- Li artigos onde os clientes mencionaram o uso de serviços externos como CloudFlare para fornecer DNS autoritativo, já que sua proteção DDoS de camada 7 é muito mais econômica. No entanto, isso não protegeria apenas contra ataques que necessitam de resolução IP? Ou seja, se um invasor tiver o IP do serviço AWS (como o Global Accelerator) resolvido, ele não poderá atacá-lo diretamente, sem precisar passar pelo CloudFlare?
- Existem outras opções para proteção da camada 7?
Reflexões (não há necessidade de ler se não for necessário):
- Meu aplicativo (API) seria 100% candidato a DDoS. Eu o codifiquei para ser resiliente a solicitações fraudulentas que realmente chegam à API (injeção de SQL, etc.), pois isso é responsabilidade do desenvolvedor do aplicativo. O que não acho justo é o cliente ter que pagar por problemas inerentes à internet (proteção DDoS). A AWS (e qualquer provedor de nuvem, na verdade) deveria ser responsável por controlar ataques DDoS em todos os níveis e integrá-los gratuitamente para proteger sua própria infra-estrutura. Mas a sensação é fazer com que os clientes compartilhem esse custo.
- Para tráfego normal, os custos do AWS WAF são bastante razoáveis, mas se fosse apenas tráfego normal, eu não estaria preocupado aqui. O que me preocupa são os picos devido aos ataques DDoS da camada 7, em que as solicitações são provenientes de alteração de IPs, mas parecem genuínas. 10 bilhões de solicitações durante a noite (facilmente realizáveis por meio de botnets) e acordo com uma conta de 6 mil. Portanto, embora meu aplicativo seja seguro, o custo para proteger (a infra, não o aplicativo, a infra) contra DDoS torna praticamente impossível que operadores individuais/startups como eu sejam sustentáveis.