Skip to content
Khoá học AWSCloudFront & AWS Global AcceleratorBảo mật trong CloudFront

Tổng quan bảo mật trong CloudFront

Amazon CloudFront không chỉ giúp phân phối nội dung nhanh chóng mà còn cung cấp nhiều cơ chế bảo mật để:

  • Ngăn chặn truy cập trái phép.
  • Bảo vệ chống tấn công mạng (DDoS, SQL injection, XSS).
  • Đảm bảo dữ liệu truyền tải được mã hóa.
  • Giới hạn phạm vi truy cập nội dung.

HTTPS và SSL/TLS

  • Mã hóa end-to-end: hỗ trợ HTTPS từ viewer đến CloudFront và từ CloudFront tới origin.
  • SSL/TLS Certificates:
    • Sử dụng certificate mặc định của CloudFront (*.cloudfront.net).
    • Hoặc gắn custom certificate từ AWS Certificate Manager (ACM) cho domain riêng.
  • Viewer Protocol Policy:
    • Redirect HTTP to HTTPS.
    • HTTPS Only.
  • TLS versions: chọn phiên bản TLS tối thiểu để đảm bảo bảo mật (khuyến nghị TLS 1.2 trở lên).

Origin Access Control (OAC) và Origin Access Identity (OAI) là gì

  • OAC (mới): phương pháp an toàn nhất để CloudFront truy cập S3 bucket qua IAM.
  • OAI (cũ): cho phép CloudFront thay mặt người dùng đọc file từ S3, ngăn truy cập trực tiếp từ public internet.
  • Lợi ích:
    • S3 bucket không cần public.
    • Chỉ CloudFront có quyền lấy dữ liệu.

Kiểm soát truy cập với Signed URL và Signed Cookies

  • Signed URL: cho phép truy cập nội dung cụ thể trong thời gian expire nhất định.
  • Signed Cookies: cho phép truy cập nhiều file cùng lúc mà không tạo từng Signed URL.
    • User cần được authentication và gửi Cookie header khi muốn access vào content.
  • Use case:
    • Nội dung trả phí (video, tài liệu).
    • Hạn chế quyền xem cho người dùng đã xác thực.

Geo Restriction là gì

  • Giới hạn hoặc cho phép truy cập từ các quốc gia cụ thể.
  • Hai chế độ:
    • Whitelist: chỉ cho phép danh sách quốc gia.
    • Blacklist: chặn danh sách quốc gia.
  • Áp dụng cho toàn distribution, hoặc tùy biến theo path bằng Lambda@Edge.

AWS WAF tích hợp CloudFront

  • Bảo vệ chống:
    • SQL injection.
    • Cross-site scripting (XSS).
    • Malicious bot traffic.
  • Tính năng:
    • Rule-based filtering.
    • Rate-based rules (chặn IP gửi quá nhiều request).
    • IP allow/deny lists.
  • AWS WAF hoạt động trực tiếp ở Edge Location → giảm tải cho origin.

AWS Shield với Cloudfront

  • AWS Shield Standard: miễn phí, tự động bảo vệ chống DDoS layer 3/4.
  • AWS Shield Advanced (tùy chọn trả phí):
    • Bảo vệ nâng cao cho layer 7.
    • Hỗ trợ 24/7 từ AWS DDoS Response Team (DRT).
    • Bồi hoàn chi phí scaling khi bị tấn công.
Cache Behavior trong CloudFrontAWS Global Accelerator