У меня есть два веб-сайта
www.mysite.com. -> размещено на s3
, обслуживается через статическое одностраничное приложение Cloudfront.
Затем у меня есть api.mysite.com
, который использует внешний интерфейс.
Моя компания использует Решение WAF
от сторонних производителей и текущие монолитные приложения защищены им.
Для нового сайта я поставил api.mysite.com
за WAF, но я не уверен, что мне нужно поставить статический сайт за WAF или нет?
В основном это касается защиты сайта от DDOS-атак, ботов и т. д., у нас было много атак раньше, поэтому я хочу убедиться, что все делаю правильно.
Хотя WAF в основном используется для защиты активных веб-сайтов, форм, API и т. Д., Иногда необходимо также использовать WAF перед общедоступным статическим контентом.
Например: Как предотвратить хотлинкинг с помощью AWS WAF, Amazon CloudFront и Referer Checking
Другой вариант использования может заключаться в том, что часть вашего статического контента не является полностью общедоступной (например, полагаясь на сложные случайные имена файлов - не то чтобы это обеспечивает большую безопасность ), и вы хотите ограничить попытки прямого доступа - здесь также может помочь WAF.
Итак, ответ на ваш вопрос: Да, иногда WAF может использоваться для статического содержимого . Однако это довольно специфические варианты использования, и я не могу сказать, актуально ли это для вашего сайта.
С другой стороны, даже если вы запустите без WAF , а позже обнаружите, что что-то неожиданное происходит с вашим статическим содержимым, которое может быть решено с помощью WAF, вы можете включить его. тогда. Это не обязательно решение, которое нужно принять в самом начале.
Надеюсь, что это поможет :)