AWS雲運算服務吸引企業採用,主要還是AWS多種API和運算功能,省卻了用戶管理成本。不少網站已經成為企業面對客戶的窗戶;用戶位於世界各地,靜態內容可以利用內容交付網絡(CDN)服務。
CDN服務所費不貲,如果網站有大量動態內容;唯一方法,可能是利用類似F5負載平衡器。AWS的CloudFront不單可支援動態的網站內容,更可結合Lambda@Edge,根據不同終端的查詢,回應不同內容。
CloudFront也結合了先進的分散式阻斷服務攻擊(Distributed Denial of Service)防禦,可以堵截來自網上的攻擊。不少網站受到黑客的勒索,或者商業對手的攻擊。
CloudFront是AWS全球CDN服務,以低延遲和高速傳輸,向全球用戶傳送資料、影片、甚至應用程式的API。近年,DDoS攻擊不斷增加,黑客向網站發出大量要求回覆訊息作攻擊,癱瘓正常的服務。
DDoS攻擊可分三種;其中分為「巨量攻擊」(Volumetric Attacks)、TCP狀態耗盡攻擊(State-Exhaustion)以及應用層攻擊(Application Layer),據專門應付 DDoS的Arbor Networks估計;其中最普遍的巨量攻擊,佔去了所有攻擊六成有多。
CloudFront結合DDoS保護
AWS邊緣運算服務副總裁Prasad Kalyanaraman表示,較早前AWS推出的AWS Shield保護CloudFront,可減少DDoS攻擊次數,自動為巨量攻擊和TCP狀態耗盡攻擊提供保護。上述兩種攻擊旨在耗盡網絡的頻寬或者是近應用的DDoS 防護系統,故此最佳阻擋方案,可透過網絡服務供應商。
應用層攻擊則比較隱密和精確,黑客針對於應用API,以機器發出大量服務請求,有時更難以分出真假,較理想在靠近客戶端應用作出防護,例如利用Web application firewall(WAF)作防護,分析攻擊的應用請求,再作出堵截。
一般網絡服務供應商均提供服務,通過轉導DDoS攻擊至流量清洗中心,疏導攻擊。不過,Kalyanaraman說,以截流方式來清洗DDoS,往往導致Web服務短暫中斷。AWS Shield採用完全Inline方式,清洗DDoS攻擊,真正的用戶完全不會察覺服務干擾。
Kalyanaraman表示,基本AWS Shield服務已包括CloudFront服務內;AWS亦推出先進AWS Shield Advanced,提供更先進保護,包括防止因DDoS產生大量流量,導致網站寄存費用大增,亦可加入了WAF,堵截應用層攻擊。
個人化和動態內容
CloudFront的另一賣點,為是可與Lambda@Edge整合。
Lambda為AWS無伺服器運算,直接執行程式碼,不必建立VM;並只須為實際使用的運算時間支付費用,不執行程式碼不會計費。Lambda可令完全毋須擔心如何擴充基建,自動按執行要求次數計費,並自動擴充規模。
但Lambda@Edge不同於Lambda,CDN邊緣運算能力有限,故只能執行簡單動作。Lambda@Edge配合CloudFront,可在遠端執行簡單的回應,毋須連接至中央伺服器,加快反應。舉例說,Lambda@Edge根據用戶發出所查詢的User-agent標頭參照,向不同連接器材或瀏覽器,傳回不同解析度的圖片,甚至不同版本內容;達到個人化效果,也就是CloudFront可交付更加動態和個人化內容,未來Lambda@Edge亦可執行更複雜功能。
Kalyanaraman說,除了可於近端執行動態內容,傳統網站可用CDN同時交付靜態和動態內容,以同一網域同時包含上述內容,完全毋須修改。此外,也可偵測存取內容的所在國家。CloudFront可將有關國家相關資訊,以獨有HTTP標頭參照,傳遞給伺服器。伺服器為不同國家用戶,產生不同內容,並在CloudFront節點快取不同版本,為來自不同國家瀏覽的用戶,提供個人化服務。