New

Защита от атак на бюджет в serverless приложениях

Атака на бюджет в serverless приложениях это массовые запросы создающие видимость работы пользователя с сайтом но посылаемые ботом с высокой частотой. Если UI можно прикрыть капчей, то читсые GET / POST запросы все равно будут отрабатывать. Уязвимые сервисы - Object Storage и Cloud Functions. Каждый запрос имеет денежный эквивалент и работая вхолостую на бота бюджет быстро уйдет в минус. На CloudFunctions есть лимиты/квоты но тогда такая атака остановит работу приложения когда будет достигнут лимит. Если частота запросов будет ниже порога срабатывания DDoS защиты то это может сильно повлиять на месячный бюджет. Предложение - сделать возможность лимита запросов по принципу leaked bucket с привязкой по IP на сервисы ObjectStorage / CloudFunction.

0 комментариев