애플리케이션 계층 위협에 대한 감지 로직

AWS Shield Advanced 보호되는 Amazon CloudFront 배포 및 애플리케이션 로드 밸런서에 대한 웹 애플리케이션 계층 탐지를 제공합니다. Shield Advanced로 이러한 리소스 타입을 보호하는 경우, AWS WAF 웹 ACL을 보호 기능과 연계하여 웹 애플리케이션 계층 감지를 활성화할 수 있습니다. Shield Advanced는 관련 웹 ACL에 대한 요청 데이터를 사용하고 애플리케이션에 대한 트래픽 기준을 구축합니다. 웹 애플리케이션 계층 감지는 Shield Advanced와 AWS WAF간의 기본 통합에 근거하여 합니다. AWS WAF 웹 ACL을 Shield Advanced 보호 리소스에 연결하는 것을 포함하여 애플리케이션 계층 보호에 대한 자세한 내용은 을 참조하십시오. AWS Shield Advanced 애플리케이션 계층 (계층 7) 보호

웹 애플리케이션 계층 감지의 경우, Shield Advanced는 애플리케이션 트래픽을 모니터링하고 이를 과거 기준선과 비교하여 이상 징후를 찾습니다. 이 모니터링은 총 볼륨과 트래픽 구성을 다룹니다. DDoS 공격 중에는 트래픽의 양과 구성이 모두 변할 것으로 예상되며, Shield Advanced는 이벤트를 선언하기 위해 두 가지 모두에 통계적으로 유의미한 편차가 있어야 합니다.

Shield Advanced는 과거 시간 창을 기준으로 측정을 수행합니다. 이 접근 방식은 트래픽 볼륨의 합법적인 변동이나 예상 패턴과 일치하는 트래픽 변화(예: 매일 같은 시간에 제공되는 판매)로 인한 오감지 알림을 줄입니다.

참고

Shield Advanced에 정상적이고 합법적인 트래픽 패턴을 표시하는 기준을 설정할 시간을 주어 오감지를 방지하세요. Shield Advanced는 웹 ACL을 보호된 리소스와 연결할 때 기준에 맞는 정보를 수집하기 시작합니다. 웹 트래픽에 비정상적인 패턴을 유발할 수 있는 계획된 이벤트가 발생하기 최소 24시간 전에 웹 ACL을 보호 대상 리소스와 연계하세요. Shield Advanced 웹 애플리케이션 계층 감지는 30일 동안 정상 트래픽을 관찰했을 때 가장 정확합니다.

Shield Advanced가 이벤트를 감지하는 데 걸리는 시간은 관찰되는 트래픽 양의 변화 정도에 영향을 받습니다. 볼륨 변화가 적은 경우, Shield Advanced는 이벤트가 발생하고 있다는 확신을 주기 위해 더 오랜 기간 동안 트래픽을 관찰합니다. 볼륨 변화가 많은 경우, Shield Advanced는 이벤트를 더 빠르게 감지하고 보고합니다.

웹 ACL의 속도 기반 규칙은 사용자가 추가했든 Shield Advanced 자동 애플리케이션 계층 완화 기능을 통해 추가되었든 관계없이 탐지 가능한 수준에 도달하기 전에 공격을 완화할 수 있습니다. 자동 애플리케이션 레이어 DDoS 완화에 대한 자세한 내용은 을 참조하십시오. Shield Advanced 자동 애플리케이션 계층 DDoS 완화

참고

트래픽 증가나 부하 증가에 대응하여 확장되도록 애플리케이션을 설계하여 요청 플러드 규모가 작아도 영향을 받지 않도록 할 수 있습니다. Shield Advanced를 사용하면 보호된 리소스에 비용 보호가 적용됩니다. 이를 통해 DDoS 공격으로 인해 발생할 수 있는 예상치 못한 클라우드 요금 인상으로부터 보호할 수 있습니다. Shield Advanced 비용 보호에 대한 자세한 설명은 크레딧 요청 AWS Shield Advanced을 참조하세요.