20、云安全防护：AWS边缘服务与传输层安全解析

云安全防护：AWS边缘服务与传输层安全解析

1. AWS Lambda@Edge的安全应用

在安全领域，微服务有一项强大的应用，即能在AWS CloudFront分发点运行基于AWS Lambda的微服务。这为在边缘运行自定义安全逻辑提供了灵活性，无需在全球多地配置和管理基础设施。Lambda@Edge在可扩展性、速度和效率方面优势明显，以下是其在安全方面的一些益处。

1.1 常见安全用例

• 检查动态安全头 ：在将请求转发到源站之前，检查动态安全头。
• 边缘机器人缓解 ：在边缘位置减轻机器人攻击。

1.2 触发事件类型

AWS Lambda可在每个边缘位置响应以下四种不同类型的事件：
| 事件类型 | 触发条件 |
| — | — |
| 查看器请求 | 请求到达AWS Lambda位置时触发，无论请求是从边缘缓存数据中获取，还是需到源站获取新内容。 |
| 源站请求 | 当边缘位置因请求对象未在本地缓存而要向源站发出请求时触发。 |
| 源站响应 | 源站对请求返回响应后触发，可访问源站响应内容。 |
| 查看器响应 | 边缘位置向查看器返回响应之前触发，可访问响应内容。 |

1.3 增强安全性

AWS Lambda@Edge允许向响应对象添加新的头部，即使网站只有静态内容且从边缘分发，也能提高对终端用户的安全性。可添加的头部包括X - XSS - Protection、Content - Security