У меня два веб-сайта
www.mysite.com. -->hosted on s3 , обслуживается через статическое одностраничное приложение Cloudfront.
Тогда у меня есть api.mysite.com , который использует интерфейс.
Моя компания использует WAF solution от сторонних производителей и текущие монолитные приложения защищены им.
Для нового сайта я поставил api.mysite.com за WAF, но я не уверен, нужно ли мне ставить статический сайт за WAF или нет?
В основном это касается защиты сайта от DDOS-атак, ботов и т. Д., У нас было много атак раньше, поэтому я хочу убедиться, что все делаю правильно.
Хотя WAF в основном используется для защиты активных веб-сайтов, форм, API и т. Д., Иногда необходимо также использовать WAF перед общедоступным статическим контентом.
Например: Как предотвратить хотлинкинг с помощью AWS WAF, Amazon CloudFront и Referer Checking
Другой вариант использования может заключаться в том, что часть вашего статического контента не является полностью общедоступной (например, полагаясь на сложные случайные имена файлов - не то, чтобы это обеспечивает большую безопасность), и вы хотите ограничить брутфорс попытки - вот тут и WAF может помочь.
Итак, ответ на ваш вопрос: Да, иногда WAF может использоваться для статического контента. Однако это довольно специфические варианты использования, и я не могу сказать, актуально ли это для вашего сайта.
С другой стороны, даже если вы начнете без WAF а позже вы узнаете, что что-то неожиданное происходит с вашим статическим контентом, который может быть решен с помощью WAF, тогда вы можете включить его. Это не обязательно решение, которое нужно принимать в самом начале.
Надеюсь, это поможет :)