자동 완화 사용 모범 사례 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동 완화 사용 모범 사례

자동 완화를 사용할 때는 이 섹션에 제공된 지침을 준수하세요.

일반 보호 및 관리

자동 완화 보호를 계획하고 구현하려면 다음 지침을 따르십시오.

  • 모든 자동 완화 보호 기능은 Shield Advanced를 통해 관리하거나, Shield Advanced 자동 방어 설정을 관리하는 AWS Firewall Manager 데 사용하는 경우 Firewall Manager를 통해 관리할 수 있습니다. Shield Advanced와 Firewall Manager를 혼용하여 이러한 보호 기능을 관리하지 마십시오.

  • 동일한 웹 ACL과 보호 설정을 사용하여 유사한 리소스를 관리하고, 서로 다른 웹 ACL을 사용하여 서로 다른 리소스를 관리하세요. Shield Advanced는 보호된 리소스에 대한 DDoS 공격을 방어할 때 해당 리소스와 연계된 웹 ACL에 대한 규칙을 정의한 다음 웹 ACL과 연계된 모든 리소스의 트래픽에 대해 규칙을 테스트합니다. Shield Advanced는 관련 리소스에 부정적인 영향을 미치지 않는 경우에만 규칙을 적용합니다. 자세한 정보는 Shield Advanced가 자동 완화를 관리하는 방법을 참조하세요.

  • Amazon CloudFront 배포를 통해 모든 인터넷 트래픽이 프록시되는 애플리케이션 로드 밸런서의 경우 배포에 대한 자동 완화 기능만 활성화하십시오. CloudFront CloudFront 배포에는 항상 원래 트래픽 속성이 가장 많으며, Shield Advanced는 이를 활용하여 공격을 완화합니다.

탐지 및 방어 최적화

다음 지침에 따라 자동 완화 기능이 보호된 리소스에 제공하는 보호를 최적화하십시오. 애플리케이션 계층 탐지 및 완화에 대한 개요는 를 참조하십시오. 감지 및 완화

  • 보호되는 리소스에 대한 상태 확인을 구성하고 이를 사용하여 Shield Advanced 보호에서 상태 기반 탐지를 활성화하세요. 자세한 지침은 상태 점검을 사용한 상태 기반 탐지을 참조하세요.

  • Shield Advanced가 정상적인 과거 트래픽에 대한 기준을 설정할 때까지 Count 모드에서 자동 완화 기능을 활성화합니다. Shield Advanced는 기준을 설정하는 데 24시간에서 30일이 소요됩니다.

    정상 트래픽 패턴의 기준을 설정하려면 다음이 필요합니다.

    • 웹 ACL과 보호된 리소스의 연결 를 사용하여 웹 ACL을 AWS WAF 직접 연결하거나 Shield Advanced 애플리케이션 계층 보호를 활성화하고 사용할 웹 ACL을 지정할 때 Shield Advanced가 이를 연결하도록 할 수 있습니다.

    • 보호된 애플리케이션으로의 정상적인 트래픽 흐름. 애플리케이션이 시작되기 전과 같이 애플리케이션에 정상적인 트래픽이 발생하지 않는 경우 또는 장기간 프로덕션 트래픽이 부족한 경우에는 기간별 데이터를 수집할 수 없습니다.

웹 ACL 관리

자동 완화 기능과 함께 사용하는 웹 ACL을 관리하려면 다음 지침을 따르십시오.

  • 보호된 리소스와 연결된 웹 ACL을 교체해야 하는 경우 다음과 같이 순서대로 변경하십시오.

    1. Shield Advanced에서 자동 완화 기능을 비활성화합니다.

    2. 에서 AWS WAF기존 웹 ACL의 연결을 끊고 새 웹 ACL을 연결합니다.

    3. Shield Advanced에서 자동 완화 기능을 활성화합니다.

    Shield Advanced는 자동 완화 기능을 기존 웹 ACL에서 새 웹 ACL로 자동 이전하지 않습니다.

  • 명칭이 ShieldMitigationRuleGroup으로 시작하는 웹 ACL에서 규칙 그룹 규칙을 삭제하지 마십시오. 이 규칙 그룹을 삭제하면 웹 ACL과 연결된 모든 리소스에 대해 Shield Advanced 자동 완화 기능이 제공하는 보호 기능을 비활성화합니다. 또한 Shield Advanced가 변경 알림을 받고 설정을 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 이 기간 동안에는 Shield Advanced 콘솔 페이지에 올바르지 않은 정보가 표시됩니다.

    규칙 그룹에 대한 자세한 내용은 Shield Advanced 규칙 그룹 섹션을 참조하세요.

  • 명칭이 ShieldMitigationRuleGroup으로 시작하는 규칙 그룹 규칙의 명칭은 수정하지 마세요. 이렇게 하면 웹 ACL을 통한 Shield Advanced 자동 완화 기능이 제공하는 보호 기능에 방해가 될 수 있습니다.

  • 규칙과 규칙 그룹을 생성할 때는 ShieldMitigationRuleGroup으로 시작하는 명칭을 사용하지 마세요. 이 문자열은 Shield Advanced에서 자동 완화 기능을 관리하는 데 사용됩니다.

  • 웹 ACL 규칙을 관리할 때 우선 순위 설정을 10,000,000으로 지정하지 마세요. Shield Advanced는 자동 완화 규칙 그룹 규칙을 추가할 때 이 우선 순위 설정을 자동 완화 규칙 그룹 규칙에 할당합니다.

  • ShieldMitigationRuleGroup 규칙의 우선 순위를 지정하여 웹 ACL의 다른 규칙과 관련하여 원하는 시간에 실행되도록 하세요. Shield Advanced는 우선 순위가 10,000,000인 규칙 그룹 규칙을 웹 ACL에 추가하여 다른 규칙 이후에 실행합니다. AWS WAF 콘솔 마법사를 사용하여 웹 ACL을 관리하는 경우 웹 ACL에 규칙을 추가한 후 필요에 따라 우선순위 설정을 조정하십시오.

  • 를 AWS CloudFormation 사용하여 웹 ACL을 관리하는 경우 ShieldMitigationRuleGroup 규칙 그룹 규칙을 관리할 필요가 없습니다. 자동 애플리케이션 레이어 (DDoS) AWS CloudFormation 완화와 함께 사용의 지침을 따르십시오.