Riesgos con Amazon S3 y costos

15

Tengo poco conocimiento de seguridad y busco imágenes para un inicio:

Teniendo en cuenta que S3 no le permite establecer un límite en los costos, ¿qué posibilidades hay de que alguien pueda inundar S3 con las solicitudes de mis archivos y acumular una cantidad considerable de dinero?

Diga que tengo un documento de 2MB, ¿es posible que alguien envíe millones de solicitudes a ese archivo de obtención?

Por lo que entiendo, los costos para un usuario final que solicita un archivo son:

  

Solicitar precio:

     

GET y todas las demás solicitudes † $ 0.01 por 10,000 solicitudes

     

Precios de transferencia de datos:

     

Hasta 10 TB / mes $ 0.120 por GB

¿Ese precio significa que esto no es un problema?

¿Tiene Amazon S3 implementadas medidas de seguridad para evitar que algo así suceda?

    
pregunta going 02.11.2011 - 03:18
fuente

5 respuestas

23

Averigüe el nivel de costo en el que comienza a sentirse incómodo.

Calcule el GB que se necesitaría transferir para alcanzar ese nivel de costo.

Comprueba si crees que un atacante estará dispuesto a gastar tanto esfuerzo para hacerte daño por esa cantidad de dinero.

Cada vez que ejecuto este cálculo, termino pensando que si alguien me odiaba tanto, sin duda podría encontrar una manera más fácil de lastimarme.

Por ejemplo, un millón de descargas de su documento de 2MB le costará aproximadamente $ 240 en cargos por transferencia de datos más $ 1 en cargos por solicitud. Para crear este costo para usted, el atacante tendrá que descargar 2,000 GB (2TB). Eso es semanas de llenar completamente una línea de 10Mbps. Solo por un miserable impacto de $ 240.

Generalmente, Amazon no discute públicamente todas las medidas de seguridad que tienen implementadas para detener DOS, DDOS y otros ataques contra sus clientes. En un documento técnico, Amazon dice: "Se utilizan técnicas de mitigación DDoS patentadas". Por supuesto, no siempre es fácil diferenciar entre un DDOS y un recurso popular :-)

Puede leer más sobre la seguridad de Amazon Web Services en su sitio:

  

enlace

    
respondido por el Eric Hammond 02.11.2011 - 04:04
fuente
9

De acuerdo con Eric .

Otro punto: DOS / DDOS son ataques desagradables que son relativamente fáciles de realizar y difíciles de proteger en el nivel de la aplicación. Piensa en qué otra opción tienes. Digamos que irá a otro proveedor de alojamiento y obtendrá el mismo ataque, ¿será mejor o peor? Al menos con Amazon, puede estar seguro de que continuará teniendo servicio y no se bloqueará en DOS.

Otra cosa que puede querer comprobar es si puede reducir el tamaño de su documento (use pdf y no word, cambie la calidad de la imagen, etc.)

    
respondido por el AaronS 02.11.2011 - 07:13
fuente
6

Aunque S3 no le permite establecer un límite en los costos, no hay nada que le impida establecer un límite.

Agregue a su aplicación los límites suaves que lo alertarán si va por encima de sus puntos más altos históricos y los límites estrictos establecidos a un nivel razonable de pérdida. De esa manera, puede decidir qué es razonable y qué no, según su presupuesto.

    
respondido por el Mark Booth 02.11.2011 - 14:23
fuente
6

Para monitorear sus costos más de una vez al mes, puede habilitar lo que se denomina Registro de cubo. Con esta opción habilitada, obtendrás el equivalente de los registros de acceso al servidor web para tu depósito. A continuación, puede hacer un seguimiento de cuántos bytes se han transferido y quién los envía, por lo que no hay sorpresas al final del mes.

    
respondido por el robert 03.11.2011 - 16:37
fuente
1

Puede agregar el registro a su cuenta y luego monitorear los registros para detectar picos de actividad.

Sin embargo, sin embargo, desearía que Amazon tuviera algún tipo de límites en S3. Cuando configuro un cliente con su propia cuenta privada de S3, este es un problema pequeño: los usuarios pueden generar URL públicas para decir algún video divertido del gato ... - Pero esto nunca sucedió realmente.

Otra cosa que puedes hacer es configurar la cuenta con una tarjeta de crédito que tenga un límite de crédito bajo. (No utilice la tarjeta de platino).

He tenido algunos pequeños activos de tamaño MB en el público en S3 durante algunos años, y su factura es siempre microscópica.

    
respondido por el Tom Andersen 10.11.2011 - 15:13
fuente

Lea otras preguntas en las etiquetas