Безопасность AWS API Gateway

Безопасность через неизвестность - это все равно что хоронить свои деньги под деревом. Единственное, что делает его безопасным, - никто не знает, что оно там.

Наиболее важным фактором безопасности всегда является риск . Мы никогда не сможем создать совершенно безопасную систему, мы можем только попытаться сбалансировать стоимость атаки на систему и стоимость ее взлома. Поэтому прежде всего я хотел бы спросить: что представляет собой риск, если кто-то знает URL вашего API?

Вы правы - это минимальная форма безопасности. Просто не более того.

Задайте себе ряд вопросов:

• Что может узнать злоумышленник по ответу? - если вам просто нужно знать, что что-то существует, чтобы начать получать ответы , вы можете начать тестировать его, чтобы увидеть, как он себя ведет. Вы можете помешать этому, подавив ВСЕ ответы, но это может негативно повлиять на ваших законных клиентов, поэтому вы спрашиваете ...

• Могу ли я ограничить то, что злоумышленник может узнать по ответу? - если злоумышленнику требуется дополнительная информация, чтобы построить законный запрос , вы можете регулировать и ограничивать все легитимные запросы.

И вопросы продолжают расти оттуда. Все сводится к рентабельности инвестиций - какова ценность того, что вы защищаете, какова площадь атаки и какова вероятность того, что она будет нарушена? Самое главное - это доверие ваших клиентов и пользователей. Как профессионалы, мы должны защищать целостность информации, которой мы доверяем.

Отдельный вопрос по HTTPS (TLS / SSL), что защищено, а что нет, от сторонних слушателей? Краткий ответ: если вы запрашиваете foo.com/bar, имя хоста (foo.com) видимо всем, кто хочет знать, но путь (/bar) - нет; и куки, заголовки и все остальное, включенное в запрос, является безопасным.