인프라 계층 위협에 대한 감지 로직 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인프라 계층 위협에 대한 감지 로직

인프라 계층 (계층 3 및 계층 4) 에서 DDoS 공격으로부터 표적 AWS 리소스를 보호하는 데 사용되는 탐지 로직은 리소스 유형과 리소스가 보호되는지 여부에 따라 달라집니다. AWS Shield Advanced

아마존 CloudFront 및 아마존 Route 53 탐지

Route CloudFront 53과 함께 웹 애플리케이션을 제공하는 경우, 완전한 인라인 DDoS 완화 시스템을 통해 애플리케이션으로 향하는 모든 패킷을 검사하므로 지연 시간이 거의 발생하지 않습니다. CloudFront 배포 및 Route 53 호스팅 영역에 대한 DDoS 공격은 실시간으로 완화됩니다. 이러한 보호는 AWS Shield Advanced사용 여부에 관계없이 적용됩니다.

DDoS 이벤트를 가장 빠르게 CloudFront 탐지하고 완화하려면 가능한 한 Route 53을 웹 애플리케이션의 진입점으로 사용하는 모범 사례를 따르세요.

탐지 대상 AWS Global Accelerator 및 지역 서비스

리소스 수준 탐지는 클래식 로드 밸런서, 애플리케이션 로드 밸런서, 엘라스틱 IP 주소 (EIP) 등 AWS 지역에서 시작되는 AWS Global Accelerator 표준 액셀러레이터 및 리소스를 보호합니다. 이러한 리소스 타입은 완화가 필요한 DDoS 공격의 존재를 나타낼 수 있는 트래픽 상승 여부를 모니터링합니다. 1분마다 각 AWS 리소스에 대한 트래픽이 평가됩니다. 리소스에 대한 트래픽이 증가하면 리소스의 용량을 측정하기 위한 추가 검사가 수행됩니다.

Shield는 다음과 같은 표준 검사를 수행합니다.

  • Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon EC2 인스턴스에 연계된 EIP — Shield는 보호된 리소스에서 용량을 검색합니다. 용량은 대상의 인스턴스 타입, 인스턴스 크기 및 인스턴스가 향상된 네트워킹을 사용하는지 여부와 같은 기타 요인에 따라 달라집니다.

  • Classic Load Balancer와 Application Load Balancer - Shield는 대상 로드 밸런서 노드에서 용량을 검색합니다.

  • Network Load Balancer에 연계된 EIP - Shield는 대상 로드 밸런서에서 용량을 검색합니다. 용량은 대상 로드 밸런서의 그룹 구성과 무관합니다.

  • AWS Global Accelerator 표준 가속기 — Shield는 엔드포인트 구성을 기반으로 용량을 검색합니다.

이러한 평가는 포트 및 프로토콜과 같은 다양한 네트워크 트래픽 차원에 걸쳐 이루어집니다. 대상 리소스의 용량이 초과되면 Shield는 DDoS 완화 조치를 취합니다. Shield가 도입한 완화 조치는 DDoS 트래픽을 감소시키지만 제거하지는 못할 수도 있습니다. Shield는 알려진 DDoS 공격 벡터와 일치하는 트래픽 차원에서 리소스 용량의 일부가 초과되는 경우에도 완화할 수 있습니다. Shield는 이 완화 조치를 TTL(Time to Live)로 설정하며, 이 기간은 공격이 진행되는 한 연장됩니다.

참고

Shield가 도입한 완화 조치는 DDoS 트래픽을 감소시키지만 제거하지는 못할 수도 있습니다. Shield는 애플리케이션에 유효하지 AWS Network Firewall 않거나 합법적인 최종 사용자가 생성하지 않은 트래픽을 애플리케이션이 처리하지 iptables 못하도록 하는 솔루션이나 호스트 방화벽과 같은 솔루션으로 강화할 수 있습니다.

Shield Advanced 보호 기능은 기존 Shield 감지 활동에 다음을 추가합니다.

  • 더 낮은 감지 임계값 - Shield Advanced는 계산된 용량의 절반에 완화 기능을 적용합니다. 이렇게 하면 느리게 증가하는 공격을 더 빠르게 완화하고 볼륨 측정 시그니처가 더 모호한 공격을 완화할 수 있습니다.

  • 간헐적 공격 보호 - Shield Advanced는 공격 빈도와 지속 시간을 기준으로 TTL(Time to Live)을 기하급수적으로 늘려 방어 체계를 구축합니다. 따라서 리소스를 자주 표적으로 삼는 경우와 짧은 시간에 공격이 발생하는 경우, 방어 조치를 더 오래 유지할 수 있습니다.

  • 상태 기반 감지 - Route 53 상태 체크를 Shield Advanced의 보호 리소스와 연계하면 상태 체크의 상태가 감지 로직에 사용됩니다. 감지된 이벤트 중에 상태 체크가 정상이면 Shield Advanced는 완화 조치를 취하기 전에 해당 이벤트가 공격이라는 확신을 더 높여야 합니다. 대신 상태 체크가 정상적이지 않은 경우, Shield Advanced는 신뢰가 설정되기 전에도 완화 조치를 취할 수 있습니다. 이 기능을 사용하면 오감지를 방지하고 애플리케이션에 영향을 미치는 공격에 더 빠르게 대응할 수 있습니다. Shield Advanced의 상태 체크에 대한 자세한 설명은 상태 확인을 사용한 상태 기반 탐지 구성을 참조하세요.