API Gateway에서 AWS WAF를 사용하여 REST API 보호 - Amazon API Gateway
API Gateway 콘솔을 사용하여 API Gateway API 단계와 AWS WAF 웹 ACL을 연결하는 방법AWS CLI를 사용하여 API Gateway API 스테이지와 AWS WAF 웹 ACL을 연결하는 방법AWS WAF REST API를 사용하여 AWS WAF 웹 ACL을 API 단계와 연결합니다.

API Gateway에서 AWS WAF를 사용하여 REST API 보호

AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 사용자가 정의한 맞춤형 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 집합(웹 액세스 제어 목록 또는 웹 ACL)을 구성할 수 있습니다. 자세한 내용은 AWS WAF 작동 방식을 참조하세요.

AWS WAF를 사용하여 SQL 명령어 주입 및 교차 사이트 스크립팅(XSS) 공격과 같은 일반적인 웹 익스플로잇으로부터 API Gateway REST API를 보호할 수 있습니다. 이는 API 가용성 및 성능에 영향을 미치거나, 보안을 손상시키거나, 리소스를 과도하게 소비할 수 있습니다. 예를 들어 지정된 IP 주소 범위의 요청, CIDR 블록의 요청, 특정 국가 또는 리전에서 시작된 요청, 악성 SQL 코드가 포함된 요청, 악성 스크립트가 포함된 요청을 허용하거나 차단하는 규칙을 만들 수 있습니다.

HTTP 헤더, 메서드, 쿼리 문자열, URI 및 요청 본문(처음 64KB로 제한)에 지정된 문자열이나 정규식 패턴과 일치하는 규칙을 만들 수도 있습니다. 또한 특정 사용자 에이전트, 악성 봇, 콘텐츠 스크래퍼의 공격을 차단하는 규칙을 생성할 수 있습니다. 예를 들어, 비율 기반 규칙을 사용하여 연속적으로 업데이트되는 이후 5분 동안 각 클라이언트 IP에서 허용하는 웹 요청 수를 지정할 수 있습니다.

중요

AWS WAF는 웹 익스플로잇에 대한 방어벽 제1선입니다. API에서 AWS WAF가 활성화된 경우, AWS WAF 규칙은 다른 액세스 제어 기능(리소스 정책, IAM 정책, Lambda 권한 부여자, Amazon Cognito 권한 부여자)보다 먼저 평가됩니다. 예를 들어 AWS WAF가 리소스 정책이 허용하는 CIDR 블록으로부터의 액세스를 차단할 경우, AWS WAF가 우선권을 가지므로 리소스 정책은 평가되지 않습니다.

API에서 AWS WAF을 활성화하려면 다음을 수행해야 합니다.

  1. AWS WAF 콘솔, AWS SDK 또는 CLI를 사용하여 AWS WAF 관리형 규칙과 사용자 지정 규칙을 원하는 대로 조합한 웹 ACL을 생성합니다. 자세한 내용은 AWS WAF 시작웹 ACL(웹 액세스 제어 목록) 을 참조합니다.

    중요

    API Gateway에는 지역 애플리케이션을 위한 AWS WAFV2 웹 ACL 또는 AWS WAF Classic Regional 웹 ACL이 필요합니다.

  2. AWS WAF 웹 ACL을 API 단계와 연결합니다. AWS WAF 콘솔, AWS SDK, CLI 또는 API Gateway 콘솔을 사용하여 이 작업을 수행할 수 있습니다.

API Gateway 콘솔을 사용하여 API Gateway API 단계와 AWS WAF 웹 ACL을 연결하는 방법

API Gateway 콘솔을 사용하여 AWS WAF 웹 ACL을 기존 API Gateway API 단계와 연결하려면 다음 단계를 수행합니다.

  1. https://console.aws.amazon.com/apigateway에서 API Gateway 콘솔에 로그인합니다.

  2. 기존 API를 선택하거나 새 API를 생성합니다.

  3. 기본 탐색 창에서 스테이지를 선택한 후 원하는 스테이지를 선택합니다.

  4. 스테이지 세부 정보 섹션에서 편집을 선택합니다.

  5. 웹 애플리케이션 방화벽(AWS WAF)에서 웹 ACL을 선택합니다.

    AWS WAFV2를 사용하는 경우 지역 응용 프로그램의 AWS WAFV2 웹 ACL을 선택합니다. 웹 ACL 및 웹 ACL이 사용하는 기타 AWS WAFV2 리소스는 API와 동일한 리전에 위치해야 합니다.

    AWS WAF Classic Regional을 사용하는 경우 리전별 웹 ACL을 선택합니다.

  6. Save changes(변경 사항 저장)를 선택합니다.

AWS CLI를 사용하여 API Gateway API 스테이지와 AWS WAF 웹 ACL을 연결하는 방법

다음 associate-web-acl 명령은 리전 애플리케이션의 AWS WAFV2 웹 ACL을 기존 API Gateway API 스테이지와 연결합니다.

aws wafv2 associate-web-acl \
--web-acl-arn  arn:aws:wafv2:{region}:111122223333:regional/webacl/test-cli/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
--resource-arn arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod

다음 associate-web-acl 명령은 AWS WAF Classic Regional 웹 ACL을 기존 API Gateway API 스테이지와 연결합니다.

aws waf-regional associate-web-acl \
--web-acl-id 'aabc123a-fb4f-4fc6-becb-2b00831cadcf' \
--resource-arn 'arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod'

AWS WAF REST API를 사용하여 AWS WAF 웹 ACL을 API 단계와 연결합니다.

AWS WAFV2 REST API를 사용하여 리전 애플리케이션용 AWS WAFV2 웹 ACL을 기존 API 게이트웨이 API 단계와 연결하려면 다음 예제에서와 같이 AssociateWebACL 명령을 사용합니다:

import boto3
 
wafv2 = boto3.client('wafv2')

wafv2.associate_web_acl(
    WebACLArn='arn:aws:wafv2:{region}:111122223333:regional/webacl/test/abc6aa3b-fc33-4841-b3db-0ef3d3825b25',
    ResourceArn='arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod'
)

AWS WAF REST API를 사용하여 AWS WAF Classic Regional 웹 ACL을 기존 API 게이트웨이 API 단계에 연결하려면 다음 예제에서와 같이 AssociateWebACL 명령을 사용하세요:

import boto3
 
waf = boto3.client('waf-regional')
 
waf.associate_web_acl(
    WebACLId='aabc123a-fb4f-4fc6-becb-2b00831cadcf',
    ResourceArn='arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod'
)