web-dev-qa-db-fra.com

Risques avec Amazon S3 et coûts

J'ai peu de connaissances en matière de sécurité et en regardant l'hébergement d'image pour une startup:

Considérant que S3 ne vous permet pas de définir une plafond sur les coûts, quelle est la probabilité que quelqu'un puisse inonder S3 avec des demandes de mes dossiers et une quantité considérable d'argent?

Dites que j'ai un document de 2 Mo, est-il possible que quelqu'un envoie des millions de demandes à cela obtenir un fichier?

De ce que je comprends les coûts d'un utilisateur final demandant un fichier est:

Demande de tarification:

GET et toutes les autres demandes † 0,01 $ par 10.000 demandes

Prix ​​de transfert de données:

Jusqu'à 10 TB/mois 0,120 $ par gb

Est-ce que cette tarification signifie que ceci est un non-problème?

Amazon S3 a-t-il des mesures de sécurité en place pour arrêter quelque chose comme ça se produisant?

15
going

Calculez le niveau des coûts lorsque vous commencez à obtenir mal à l'aise.

Calculer le GB qui aurait besoin d'être transférés pour atteindre ce niveau de coût.

Voyez si vous pensez qu'un attaquant sera prêt à dépenser beaucoup d'efforts pour vous faire du mal pour cette somme d'argent.

Chaque fois que je lance ce calcul je finis par penser que si quelqu'un me détestait beaucoup, ils pourraient certainement trouver un moyen plus facile de me faire du mal.

Par exemple, un million de téléchargements de votre document 2MB va vous coûter environ 240 $ en frais de transfert de données plus 1 $ en frais de demande. Pour créer ce coût pour vous, l'attaquant va avoir à télécharger 2000 Go (2 To). C'est semaines de remplir complètement une ligne 10Mbps. Juste pour un impact maigre 240 $.

Amazon ne discute pas publiquement généralement toutes les mesures de sécurité qui sont en place pour arrêter DOS, DDOS, et d'autres attaques contre leurs clients. Dans un livre blanc, Amazon dit: " les techniques d'atténuation Proprietary DDoS sont utilisés. " Bien sûr, ce n'est pas toujours facile de faire la différence entre un DDOS et une ressource populaire :-)

Vous pouvez en savoir plus sur Amazon Web Services Security sur leur site:

http://aws.Amazon.com/security/

24
Eric Hammond

D'accord avec Eric .

Un autre point: DOS/DDO sont des attaques méchantes qui sont relativement faciles à faire et difficiles à protéger au niveau de l'application. Pensez à quelle autre option vous avez. Disons que vous irez à un autre fournisseur d'hébergement et aurez la même attaque, sera-t-il meilleur ou pire? Avec Amazon au moins, vous pouvez être sûr que vous continuerez à avoir un service et que vous n'allez pas écraser sous DOS.

Une autre chose que vous voudrez peut-être vérifier est si vous pouvez rendre votre taille de document plus petite (utilisez PDF et non Word, modifier la qualité de l'image, etc.)

9
AaronS

Bien que S3 ne vous permettait pas de définir une casquette sur les coûts, rien ne vous empêche de définir un capuchon vous-même.

Ajoutez à vos applications Soft Limites qui vous alertent si vous allez bien au-dessus de vos points forts historiques et des limites difficiles fixées à une perte de niveau raisonnable. De cette façon, vous devez décider de ce qui est raisonnable et ce qui n'est pas, selon votre budget.

6
Mark Booth

Afin de surveiller vos coûts plus d'une fois par mois, vous pouvez activer ce que l'on appelle la journalisation du godet. Avec cela, vous avez permis d'obtenir l'équivalent des journaux d'accès au serveur Web pour votre godet vous livré. Vous pouvez ensuite garder une trace de combien d'octets ont été transférés et par qui il n'y a donc pas de surprises à la fin du mois.

6
robert

Vous pouvez ajouter une journalisation à votre compte, puis surveiller les journaux des pics d'activité.

Néanmoins, cependant, souhaitent que Amazon ait une sorte de limites sur S3. Lorsque j'ai configuré un client avec son propre compte S3 privé, il s'agit d'un petit problème - les utilisateurs peuvent générer des URL publiques pour dire une vidéo de chat amusante ... - mais cela n'a jamais eu lieu.

Une autre chose que vous pouvez faire est de configurer le compte avec une carte de crédit qui a une faible limite de crédit. (N'utilisez pas la carte Platinum).

J'ai eu quelques petits actifs de la taille d'un MB au public sur S3 depuis quelques années et la facture sur eux est toujours microscopique.

1
Tom Andersen