タダです。

今回はサーバーレスシングルページアプリケーション7章で勉強したことをまとめていきます。 www.oreilly.co.jp

章立ては以下のようになっています。

• 1章　シンプルにはじめる
• 2章　ハッシュイベントによるビューのルーティング
• 3章　シングルページアプリケーションに必要なもの
• 4章　Amazon CognitoによるIdentity as a Service
• 5章　DynamoDBにデータを格納する
• 6章　Lambdaを使って（マイクロ）サービスを作る
• 7章　サーバーレスのセキュリティ
• 8章　スケールアップする

7章のまとめ

• AWSアカウントのセキュリティの基本
  • すべてのルートアクセスキーを無効にする
  • プロファイルを使ってユーザーを管理する
  • AWS認証情報をセキュアにする
  • 多要素認証をセットアップする
• サーバーレスSPAが受ける攻撃タイプ
  • クエリインジェクション攻撃
  • クロスサイトスクリプティング攻撃
  • XSSインジェクション
• TLSはSSL標準とともに、セキュアで暗号化されたチャンネルをネゴシエートする方法を提供する
  • 公開鍵暗号を使うことで通脚ん相手のアイデンティティを検証できる
• DoS攻撃に対しての方法として、CloudFrontとS3での静的コンテンツを提供すること
  • Cognito、DynamoDB、Lambdaはどんなタイプの攻撃が行われそうかを述べるのは困難
    • GoogleなどのIDPで使い捨てユーザーをつかってDynamoDBに書き込む攻撃はありそう
  • 攻撃を検出するためにCloudWatchサービスを利用して異常な使用パターンを知らせるアラームを設定が可能
  • 攻撃検出後は、AWSサービスへアクセスか許可を与えるIAMポリシーのCondition条項を変更すること
• サーバーレスの一般的な攻撃について見たので、他のトピックとして署名付きURLを使うことやDDoSの防御についても合わせて確認する

次は8章でスケールアップについて学びます。