Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록
이 섹션에서는 Shield Advanced의 애플리케이션 계층 이벤트 감지 및 완화에 영향을 미치는 요인에 대해 설명합니다.
상태 확인
애플리케이션의 전반적인 상태를 정확하게 보고하는 상태 확인은 애플리케이션이 겪고 있는 트래픽 조건에 대한 정보를 Shield Advanced에 제공합니다. Shield Advanced는 애플리케이션이 비정상으로 보고될 때 잠재적 공격을 가리키는 정보를 적게 요구하고 애플리케이션이 정상으로 보고될 경우 공격에 대한 증거를 더 많이 요구합니다.
애플리케이션 상태를 정확하게 보고하도록 상태 확인을 구성하는 것이 중요합니다. 자세한 정보 및 지침은 Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지(을)를 참조하세요.
트래픽 기준
트래픽 기준은 애플리케이션의 정상 트래픽 특성에 대한 Shield Advanced 정보를 제공합니다. Shield Advanced는 이러한 기준을 사용하여 애플리케이션이 정상 트래픽을 수신하지 못하는 시점을 인식하므로, 사용자에게 알리고, 구성된 대로 완화 옵션을 고안하고 테스트하여 잠재적 공격에 대응할 수 있습니다. Shield Advanced가 트래픽 기준을 사용하여 잠재적 이벤트를 감지하는 방법에 대한 자세한 내용은 개요 애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직 섹션을 참조하세요.
Shield Advanced는 보호된 리소스와 연결된 웹 ACL에서 제공하는 정보에서 기준을 생성합니다. Shield Advanced가 애플리케이션의 기준을 안정적으로 결정하기 전에 웹 ACL을 최소 24시간에서 최대 30일 동안 리소스에 연결해야 합니다. 필요한 시간은 Shield Advanced 또는 AWS WAF를 통해 웹 ACL을 연결할 때 시작됩니다.
Shield Advanced 애플리케이션 계층 보호와 함께 웹 ACL을 사용하는 방법에 대한 자세한 내용은 AWS WAF 웹 ACL 및 Shield Advanced를 사용하여 애플리케이션 계층 보호 섹션을 참조하세요.
속도 기반 규칙
속도 기반 규칙은 공격을 완화하는 데 도움이 될 수 있습니다. 또한 정상적인 트래픽 기준 또는 상태 확인 상태 보고에 표시할 수 있을 만큼 충분히 큰 문제가 되기 전에 공격을 완화하여 공격을 숨길 수도 있습니다.
Shield Advanced로 애플리케이션 리소스를 보호할 때는 웹 ACL에서 속도 기반 규칙을 사용하는 것이 좋습니다. 완화 조치로 인해 잠재적 공격이 가려질 수 있지만, 이는 중요한 1차 방어선으로, 합법적인 고객이 애플리케이션을 계속 사용할 수 있도록 하는 데 도움이 됩니다. 속도 기반 규칙이 감지하는 트래픽과 속도 제한은 AWS WAF 지표에 표시됩니다.
자체 속도 기반 규칙 외에도 자동 애플리케이션 계층 DDoS 완화를 활성화하면 Shield Advanced는 공격을 완화하는 데 사용하는 규칙 그룹을 웹 ACL에 추가합니다. 이 규칙 그룹에서 Shield Advanced에는 항상 DDoS 공격의 원인으로 알려진 IP 주소의 요청 양을 제한하는 장소에 속도 기반 규칙이 있습니다. Shield Advanced 규칙에서 완화하는 트래픽에 대한 지표는 볼 수 없습니다.
속도 기반 규칙에 대한 자세한 내용은 AWS WAF에서 속도 기반 규칙 문 사용 섹션을 참조하세요. Shield Advanced에서 자동 애플리케이션 계층 DDoS 완화를 위해 사용하는 속도 기반 규칙에 대한 내용은 Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호을 참조하세요.
Shield Advanced 및 AWS WAF 지표에 대한 자세한 내용은 Amazon CloudWatch를 사용한 모니터링 섹션을 참조하세요.