서버리스 백엔드 API 주소 노출

Question

안녕하세요, 현재 람다, api gateway 등을 활용해서 서버리스 백엔드 구성을 시도하고 있는 학생입니다!

해커톤처럼 개발했던 서비스를 서버리스로 마이그레이션 하는 과정에서 과금 때문에 api 호출을 신경쓰다가 질문이 생겨 글을 쓰게 되었습니다.

이전까지는 해당 부분을 신경쓰지 않아서 크롬 데브툴에서 네트워크를 확인하면 백엔드 API 주소가 그대로 노출되었습니다.

그런데 서버리스를 고민하다보니 API 주소가 노출되면 API를 직접 과하게 호출하여 서비스를 공격하거나 심지어 페이지를 과하게 새로고침하여 백 API가 과하게 호출될 수도 있어 위험할 것 같습니다.

서버리스면 과금의 문제고 서버풀이어도 서버에 부하가 걸리는 문제가 발생할 수 있을 것 같은데 이런 문제는 어떻게 방지하는지 막상 떠오르지 않아 질문글로 남깁니다.

아직 모르는 것이 많아 여러모로 조언, 충고 부탁드립니다!

장훈 · Answer

비즈니스 로직을 람다로 만든 후 api gateway를 연동하셨거나 람다에서 엔드포인트를 직접 생성하여 접근하는 구조로 구축을 하셨다면 말씀하신대로 엔드포인트에 대한 직접 접근 및 악성사용자에 의한 과도한 트래픽 발생을 우려하실 수 있습니다.
이 경우 api gateway의 인증기능을 활용하실 수도 있고 제가 알기로 api gateway에서 레이트 리미터를 적용하여 쓰로틀링을 할 수 있는 것으로 아는데 확인이 필요합니다.
aws에서 제안하는 방법은 cloudfront를 활용하는 방법으로 아래 document를 참고하시면 됩니다.
https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/protecting-api-endpoints-bp4.html

일반적으로 aws를 사용하여 api service를 구축할 때 최초 트래픽이 유입되는 통로로 route53와 cloudfront를 조합하여 사용하거나 cloudfront만이라도 연동하면 다양한 보안 기능 및 라우팅 기능을 사용할 수 있으므로 이려한 구조로 만드시는 것을 권장합니다.