AWS WAF를 사용하여 API 보호 - Amazon API Gateway

AWS WAF를 사용하여 API 보호

AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 사용자가 정의한 맞춤형 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 집합(웹 ACL)을 구성할 수 있습니다. 자세한 내용은 AWS WAF 작동 방식을 참조하세요.

AWS WAF를 사용하여 SQL 명령어 주입 및 교차 사이트 스크립팅(XSS) 공격과 같은 일반적인 웹 익스플로잇으로부터 API Gateway API를 보호할 수 있습니다. 이는 API 가용성 및 성능에 영향을 미치거나, 보안을 손상시키거나, 리소스를 과도하게 소비할 수 있습니다. 예를 들어 지정된 IP 주소 범위의 요청, CIDR 블록의 요청, 특정 국가 또는 리전에서 시작된 요청, 악성 SQL 코드가 포함된 요청, 악성 스크립트가 포함된 요청을 허용하거나 차단하는 규칙을 만들 수 있습니다.

HTTP 헤더, 메서드, 쿼리 문자열, URI 및 요청 본문(처음 8KB로 제한)에 지정된 문자열이나 정규식 패턴과 일치하는 규칙을 만들 수도 있습니다. 또한 특정 사용자 에이전트, 악성 봇, 콘텐츠 스크래퍼의 공격을 차단하는 규칙을 생성할 수 있습니다. 예를 들어, 비율 기반 규칙을 사용하여 연속적으로 업데이트되는 이후 5분 동안 각 클라이언트 IP에서 허용하는 웹 요청 수를 지정할 수 있습니다.

중요

AWS WAF는 웹 익스플로잇에 대한 1차 방어선입니다. API에서 AWS WAF가 활성화된 경우, AWS WAF 규칙은 다른 액세스 제어 기능(리소스 정책, IAM 정책, Lambda 권한 부여자, Amazon Cognito 권한 부여자)보다 먼저 평가됩니다. 예를 들어 AWS WAF가 리소스 정책이 허용하는 CIDR 블록으로부터의 액세스를 차단할 경우, AWS WAF가 우선권을 가지므로 리소스 정책은 평가되지 않습니다.

API에서 AWS WAF를 활성화하려면 다음을 수행해야 합니다.

  1. AWS WAF 콘솔, AWS SDK 또는 CLI를 사용하여 AWS WAF 관리형 규칙과 사용자 지정 규칙을 원하는 대로 조합한 리전 웹 ACL을 생성합니다. 자세한 내용은 AWS WAF 시작하기웹 액세스 제어 목록(Wev ACL) 생성 및 구성을 참조하세요.

    중요

    API Gateway에는 리전 웹 ACL이 필요합니다.

  2. AWS WAF 리전 웹 ACL과 API 스테이지를 연결합니다. 이 작업은 AWS WAF 콘솔, AWS SDK 또는 CLI를 사용하거나 API Gateway 콘솔, AWS SDK 또는 CLI를 사용하여 수행할 수 있습니다.

API Gateway 콘솔을 사용하여 API Gateway API 단계와 AWS WAF 리전 웹 ACL을 연결하는 방법

API Gateway 콘솔을 사용하여 AWS WAF 리전 웹 ACL을 기존 API Gateway API 스테이지와 연결하려면 다음 단계를 수행합니다.

  1. https://console.aws.amazon.com/apigateway에서 API Gateway 콘솔에 로그인합니다.

  2. APIs(API) 탐색 창에서 API를 선택한 다음 Stages(단계)를 선택합니다.

  3. 단계(Stages) 창에서 단계 이름을 선택합니다.

  4. Stage Editor(단계 편집기) 창에서 설정 탭을 선택합니다.

  5. 리전 웹 ACL과 API 스테이지를 연결하려면

    1. AWS WAF 웹 ACL 드롭다운 목록에서 이 스테이지와 연결할 리전 웹 ACL을 선택합니다.

      참고

      필요한 웹 ACL이 아직 존재하지 않으면 Create WebACL(WebACL 생성)을 선택합니다. 그런 다음 AWS WAF로 이동(Go to AWS WAF)을 선택하여 새 브라우저 탭에서 AWS WAF 콘솔을 열고 리전 웹 ACL을 생성합니다. 그런 다음 API Gateway 콘솔로 돌아가 웹 ACL을 단계와 연결합니다.

  6. [Save Changes]를 선택합니다.

AWS CLI를 사용하여 API Gateway API 단계와 AWS WAF 리전 웹 ACL을 연결

AWS CLI를 사용하여 AWS WAF 리전 웹 ACL을 기존 API Gateway API 스테이지와 연결하려면 다음 예제에서와 같이 associate-web-acl 명령을 호출하세요.

aws waf-regional associate-web-acl \ --web-acl-id 'aabc123a-fb4f-4fc6-becb-2b00831cadcf' \ --resource-arn 'arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod'

AWS WAF REST API를 사용하여 API 단계와 AWS WAF 리전 웹 ACL을 연결

AWS WAF REST API를 사용하여 AWS WAF 리전 웹 ACL을 기존 API Gateway API 스테이지와 연결하려면 다음 예제에서와 같이 AssociateWebACL 명령을 호출하세요.

import boto3 waf = boto3.client('wafregional') waf.associate_web_acl( WebACLId='aabc123a-fb4f-4fc6-becb-2b00831cadcf', ResourceArn='arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod' )