Jak chránit dva mikrofrontendy s různými potřebami přístupu na backendu AWS

Temp mail SuperHeros
Jak chránit dva mikrofrontendy s různými potřebami přístupu na backendu AWS
Jak chránit dva mikrofrontendy s různými potřebami přístupu na backendu AWS
Mia Chevalier
Sobota 28. prosince 2024 19:47:07

Vyvážení bezpečnosti a dostupnosti v architektuře AWS Micro-Frontend

Návrh bezpečných a škálovatelných cloudových architektur často zahrnuje vyvážení dostupnosti a omezeného přístupu. V nastavení AWS máte dvě mikrofrontendy s jedinečnými požadavky na přístup. FE-A je třeba omezit na konkrétní statickou IP, zatímco FE-B by měla být veřejně přístupná. Současné řešení těchto potřeb může představovat problém. 😅

Problém nastává při konfiguraci skupin zabezpečení v EC2. Pokud povolíte přístup k 0.0.0.0, oba frontendy se stanou veřejně přístupnými, což ohrozí zabezpečení FE-A. Na druhou stranu, omezení přístupu k jedné statické IP popírá veřejnou dostupnost pro FE-B. To vytváří komplexní rovnováhu mezi otevřeností a bezpečností.

I když se funkce Lambda pro dynamickou aktualizaci rozsahů IP může zdát životaschopná, přináší další režii a není optimálním dlouhodobým řešením. Časem může například zvýšit náklady a složitost. Správa častých aktualizací bezpečnostních skupin může být navíc těžkopádná a náchylná k chybám.

Nalezení nákladově efektivního řešení, které splňuje tyto požadavky, je zásadní. Cílem je chránit FE-A a zároveň zajistit, aby FE-B zůstal celosvětově dostupný bez zavádění zbytečných složitostí. Pojďme prozkoumat, jak toho dosáhnout pomocí osvědčených postupů AWS. 🚀

Příkaz Příklad použití
waf_client.create_web_acl Tento příkaz se používá k vytvoření webového aplikačního firewallu (WAF) WebACL v AWS. Pomáhá definovat pravidla a akce pro řízení přístupu ke zdrojům, jako jsou nástroje pro vyrovnávání zatížení aplikací, na základě IP adres nebo jiných podmínek.
waf_client.associate_web_acl Přidruží WebACL ke konkrétnímu prostředku AWS, jako je Application Load Balancer. To propojí definovaná přístupová pravidla se zdrojem pro vynucení.
ec2.authorize_security_group_ingress Přidá nové pravidlo k pravidlům pro příchozí (příchozí provoz) skupiny zabezpečení v AWS EC2. Tento příkaz definuje povolené rozsahy IP a protokoly pro přístup k přidruženým zdrojům.
requests.get Načte data ze zadané adresy URL. V tomto kontextu načítá data JSON obsahující rozsahy IP AWS, aby dynamicky konfigurovala pravidla skupiny zabezpečení.
patch Dekorátor z knihovny unittest.mock v Pythonu používaný k nahrazení skutečných objektů v kódu simulovanými objekty během testování. Tím je zajištěno, že testy budou probíhat izolovaně bez skutečného volání AWS API.
VisibilityConfig Parametr v procesu vytváření WAF WebACL. Konfiguruje možnosti monitorování a metrik, jako je povolení metrik CloudWatch a vzorkování požadavků.
IPSetReferenceStatement Používá se v pravidlech WAF k odkazování na předdefinovanou sadu IPS. To pomáhá určit, které adresy IP nebo rozsahy jsou povoleny nebo blokovány na základě konfigurace pravidla.
unittest.TestCase Část knihovny unittest Pythonu. Je to základní třída pro vytváření nových unit testů, umožňující strukturované testování jednotlivých částí kódu.
SampledRequestsEnabled Nastavení v rámci pravidel WAF, které umožňuje zachytit vzorek požadavků, které odpovídají pravidlu, pro analýzu. To pomáhá při ladění a optimalizaci konfigurací pravidel.
DefaultAction Určuje akci (např. Povolit nebo Blokovat), která se má provést, když požadavek neodpovídá žádnému pravidlu ve WebACL. To zajišťuje záložní chování pro bezkonkurenční provoz.

Strategie pro zabezpečení mikrofrontend pomocí AWS

První skript využívá možnosti AWS Web Application Firewall (WAF) k prosazení odlišných přístupových zásad pro dva mikrofrontendy. Vytvořením WebACL se na FE-A použijí specifická pravidla IP, aby byl povolen provoz pouze z určeného statická IPzajišťuje, že zůstane uzavřeným systémem. Pro FE-B povoluje přístup veřejnosti samostatné pravidlo. Tento přístup centralizuje řízení přístupu na aplikační vrstvě, takže je ideální pro efektivní řízení provozu bez úpravy základních skupin zabezpečení EC2. Můžete například omezit FE-A na kancelářskou síť a zároveň umožnit FE-B, aby zůstala globálně přístupná, což zajistí firemní bezpečnost i uživatelské pohodlí. 🌍

WebACL je pak spojen s nástrojem pro vyrovnávání zatížení aplikací (ALB), který zajišťuje, že veškerý provoz procházející přes ALB je filtrován podle těchto pravidel. Příkaz waf_client.create_web_acl je stěžejní při definování pravidel, zatímco waf_client.associate_web_acl propojí WebACL se zdrojem. Toto nastavení je vysoce škálovatelné a umožňuje budoucí úpravy, jako je přidávání nových IP adres nebo úprava zásad přístupu, s minimálním úsilím. Monitorovací funkce, jako jsou metriky CloudWatch, mohou také sledovat účinnost pravidel a poskytují cenné informace o vzorcích provozu.

Naproti tomu řešení založené na Lambda dynamicky aktualizuje pravidla skupiny zabezpečení EC2. Tento skript načte rozsahy IP specifické pro vaši oblast AWS a nakonfiguruje je jako vstupní pravidla ve skupině zabezpečení. Funkce ec2.authorize_security_group_ingress přidává nebo aktualizuje povolené rozsahy IP, což umožňuje, aby byl FE-B veřejně přístupný při zachování přísné kontroly pro FE-A. Tento přístup je užitečný zejména v prostředích s často se měnícími požadavky na IP, jako jsou cloudová vývojová nastavení nebo přesouvání firemních kanceláří. Pokud je například založena nová pobočka, můžete automaticky přidat její IP na seznam povolených bez ručního zásahu. 🏢

Funkce Lambda v kombinaci s naplánovanou událostí CloudWatch automatizuje tyto aktualizace denně, čímž snižuje administrativní režii. I když tento přístup zvyšuje složitost, poskytuje jemnou kontrolu nad provozem. Testy jednotek zahrnuté ve skriptu ověřují funkčnost a zajišťují správné použití pravidel zabezpečení bez zavádění chyb. Ať už zvolíte WAF nebo Lambda, obě metody upřednostňují nákladovou efektivitu a flexibilitu, čímž vyvažují potřebu veřejného a omezeného přístupu. Nakonec tato řešení demonstrují všestrannost AWS při plnění různých požadavků při zachování robustního zabezpečení. 🔒

Zabezpečení backendu AWS pro dva mikrofrontendy s různými požadavky na přístup

Přístup 1: Použití AWS WAF (Web Application Firewall) a skupin zabezpečení pro řízení přístupu

# Step 1: Define IP restrictions in AWS WAF
# Create a WebACL to allow only specific IP ranges for FE-A and public access for FE-B.
import boto3
waf_client = boto3.client('wafv2')
response = waf_client.create_web_acl(    Name='MicroFrontendAccessControl',    Scope='REGIONAL',    DefaultAction={'Allow': {}},    Rules=[        {            'Name': 'AllowSpecificIPForFEA',            'Priority': 1,            'Action': {'Allow': {}},            'Statement': {                'IPSetReferenceStatement': {                    'ARN': 'arn:aws:wafv2:region:account-id:ipset/ipset-id'                }            },            'VisibilityConfig': {                'SampledRequestsEnabled': True,                'CloudWatchMetricsEnabled': True,                'MetricName': 'AllowSpecificIPForFEA'            }        },        {            'Name': 'AllowPublicAccessForFEB',            'Priority': 2,            'Action': {'Allow': {}},            'Statement': {'IPSetReferenceStatement': {'ARN': 'arn:aws:wafv2:region:account-id:ipset/ipset-id-for-public'}},            'VisibilityConfig': {                'SampledRequestsEnabled': True,                'CloudWatchMetricsEnabled': True,                'MetricName': 'AllowPublicAccessForFEB'            }        }    ],    VisibilityConfig={        'SampledRequestsEnabled': True,        'CloudWatchMetricsEnabled': True,        'MetricName': 'MicroFrontendAccessControl'    })
print("WebACL created:", response)
# Step 2: Associate the WebACL with your Application Load Balancer
response = waf_client.associate_web_acl(    WebACLArn='arn:aws:wafv2:region:account-id:webacl/webacl-id',    ResourceArn='arn:aws:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name')
print("WebACL associated with Load Balancer:", response)

Zabezpečení přístupu pomocí funkce Lambda pro dynamické aktualizace

Přístup 2: Funkce Lambda pro dynamickou aktualizaci skupin zabezpečení

# Import required modules
import boto3
import requests
# Step 1: Fetch public IP ranges for your region
def get_ip_ranges(region):
    response = requests.get("https://ip-ranges.amazonaws.com/ip-ranges.json")
    ip_ranges = response.json()["prefixes"]
    return [prefix["ip_prefix"] for prefix in ip_ranges if prefix["region"] == region]
# Step 2: Update the security group
def update_security_group(security_group_id, ip_ranges):
    ec2 = boto3.client('ec2')
    permissions = [{"IpProtocol": "tcp", "FromPort": 80, "ToPort": 80, "IpRanges": [{"CidrIp": ip} for ip in ip_ranges]}]
    ec2.authorize_security_group_ingress(GroupId=security_group_id, IpPermissions=permissions)
# Step 3: Lambda handler
def lambda_handler(event, context):
    region = "us-west-2"
    security_group_id = "sg-0123456789abcdef0"
    ip_ranges = get_ip_ranges(region)
    update_security_group(security_group_id, ip_ranges)
    return {"statusCode": 200, "body": "Security group updated successfully"}

Ověření konfigurace pomocí testů jednotek

Přístup 3: Přidání testů jednotek pro funkci Lambda a konfiguraci WebACL

import unittest
from unittest.mock import patch
class TestSecurityConfigurations(unittest.TestCase):
    @patch("boto3.client")
    def test_update_security_group(self, mock_boto3):
        mock_ec2 = mock_boto3.return_value
        ip_ranges = ["192.168.0.0/24", "203.0.113.0/24"]
        update_security_group("sg-0123456789abcdef0", ip_ranges)
        mock_ec2.authorize_security_group_ingress.assert_called()
    def test_get_ip_ranges(self):
        region = "us-west-2"
        ip_ranges = get_ip_ranges(region)
        self.assertIsInstance(ip_ranges, list)
if __name__ == "__main__":
    unittest.main()

Optimalizace zabezpečení a dostupnosti pro aplikace Micro-Frontend v AWS

Dalším účinným způsobem, jak vyřešit problém s vyvážením omezeného a veřejného přístupu ve vaší mikrofrontendové architektuře, je využití integrovaných funkcí AWS Amplify. Amplify zjednodušuje hostování a nasazení a zároveň poskytuje nástroje pro bezpečnou konfiguraci backendových API. Pro FE-A můžete implementovat řízení přístupu k síti omezením jeho koncových bodů rozhraní API na konkrétní IP adresy pomocí brány AWS API. Toto nastavení zajišťuje, že s backendem mohou komunikovat pouze předdefinované statické IP adresy, zatímco koncové body FE-B mohou zůstat neomezené pro veřejný přístup. To nejen zvyšuje zabezpečení, ale také se hladce integruje s pracovními postupy CI/CD společnosti Amplify. 🌐

Dalším aspektem je použití Amazon CloudFront s vlastními zásadami přístupu k původu. CloudFront může směrovat provoz do příslušného backendu na základě cesty URL a slouží jako gatekeeper pro vaše mikrofrontendy. Provoz FE-A lze filtrovat přes CloudFront pomocí zásady požadavku na původ, která kontroluje omezení IP nebo konkrétní záhlaví. Například podnik nasazující interní nástroj prostřednictvím FE-A může přidat filtr rozsahu IP a zpřístupnit FE-B globálně koncovým uživatelům. Tento přístup optimalizuje jak škálovatelnost, tak výkon, zejména pro aplikace vyžadující globální distribuci. 🚀

A konečně, implementace AWS Cognito pro ověřování uživatelů přidává další vrstvu zabezpečení. FE-A lze uzamknout za přihlašovací systém vyžadující autentizaci uživatele s konkrétními rolemi nebo skupinami, zatímco FE-B může pro veřejný přístup používat lehčí nebo žádný mechanismus autentizace. Kombinací autentizace a omezení přístupu k síti dosáhnete robustního bezpečnostního modelu šitého na míru potřebám každého mikrofrontendu. Tato strategie je zvláště účinná pro začínající podniky a malé a střední podniky, které hledají cenově dostupná, škálovatelná a bezpečná cloudová řešení. 🔐

Běžné otázky týkající se zabezpečení AWS Micro-Frontend Architectures

  1. Jak mohu omezit přístup ke koncovému bodu API pro konkrétní IP adresy?
  2. Použití API Gateway resource policies definovat povolené rozsahy IP pro vaše koncové body.
  3. Jaký je nejlepší způsob, jak zajistit globální dostupnost frontendu?
  4. Nasaďte jej pomocí AWS Amplify s Amazon CloudFront jako sítí pro doručování obsahu.
  5. Mohu automatizovat aktualizace IP pro dynamická prostředí?
  6. Ano, použijte a Lambda function dynamicky načítat a aktualizovat rozsahy IP v bezpečnostní skupině nebo pravidle WAF.
  7. Je možné zabezpečit FE-A bez dopadu na veřejný přístup FE-B?
  8. Kombajn WAF pravidla pro FE-A a neomezená nastavení bezpečnostních skupin pro FE-B.
  9. Jak AWS Cognito zvyšuje zabezpečení mikrofrontendu?
  10. AWS Cognito spravuje ověřování uživatelů a umožňuje přístup na základě rolí pro konkrétní frontendy.

Efektivní řešení pro bezpečný přístup k mikrofrontendu

Zabezpečení backendů pro mikrofrontendy vyžaduje přizpůsobený přístup. AWS nabízí několik nástrojů jako WAF, API Gateway a CloudFront, které mohou pomoci efektivně řídit provoz. Konfigurace, jako je filtrování IP pro FE-A a otevřený přístup pro FE-B, jsou zásadní pro vyvážení dostupnosti a bezpečnosti. Díky těmto nástrojům je proces bezproblémový a spolehlivý. 🔐

Použití automatizovaných metod, jako jsou funkce Lambda pro dynamickou správu IP, přidává další flexibilitu a zároveň udržuje náklady pod kontrolou. Kombinace zabezpečení na úrovni sítě s opatřeními na aplikační vrstvě zajišťuje robustní řešení vhodné pro podniky všech velikostí. To vám umožní dosáhnout optimalizovaného zabezpečení backendu, aniž by došlo ke snížení uživatelské zkušenosti. 🌟

Reference a zdroje pro zabezpečení backendu AWS
  1. Další informace o AWS Web Application Firewall (WAF) získáte v oficiální dokumentaci AWS: AWS WAF .
  2. Prozkoumejte, jak nakonfigurovat zásady prostředků brány API pro filtrování IP v průvodci AWS: Zásady prostředků API brány .
  3. Pochopte možnosti Amazon CloudFront pro bezpečné doručování obsahu na: Amazon CloudFront .
  4. Zjistěte, jak automatizovat aktualizace IP pomocí Lambda v dokumentaci AWS Lambda: AWS Lambda .
  5. Další informace o zabezpečení instancí EC2 pomocí skupin zabezpečení naleznete v části: EC2 Security Groups .