기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
인프라 계층 위협(계층 3 및 계층 4)에 대한 AWS Shield 탐지 로직
이 페이지에서는 인프라(네트워크 및 전송) 계층에 대한 이벤트 탐지의 작동 방식을 설명합니다.
인프라 계층(계층 3 및 계층 4)에서 DDoS 공격으로부터 타겟 AWS 리소스를 보호하는 데 사용되는 감지 로직은 리소스 타입과 리소스가 AWS Shield Advanced로 보호되는지 여부에 따라 달라집니다.
Amazon CloudFront 및 Amazon Route 53에 대한 감지
CloudFront 및 Route 53으로 웹 애플리케이션을 서비스하는 경우, 완전한 인라인 DDoS 완화 시스템이 애플리케이션에 대한 모든 패킷을 검사하므로 지연 시간이 거의 발생하지 않습니다. CloudFront 배포 및 Route 53 호스팅 영역에 대한 DDoS 공격은 실시간으로 완화됩니다. 이러한 보호는 AWS Shield Advanced 사용 여부에 관계없이 적용됩니다.
가능한 경우, CloudFront와 Route 53을 웹 애플리케이션의 진입점으로 사용하는 모범 사례를 따라 DDoS 이벤트를 가장 빠르게 감지하고 완화하십시오.
AWS Global Accelerator 및 지역 서비스에 대한 감지
리소스 수준 감지는 Classic Load Balancers, Application Load Balancers, 탄력적 IP 주소(EIP) 등 AWS 지역에서 출범되는 AWS Global Accelerator 표준 액셀러레이터 및 리소스를 보호합니다. 이러한 리소스 타입은 완화가 필요한 DDoS 공격의 존재를 나타낼 수 있는 트래픽 상승 여부를 모니터링합니다. 1분마다 각 AWS 리소스에 대한 트래픽이 평가됩니다. 리소스에 대한 트래픽이 증가하면 리소스의 용량을 측정하기 위한 추가 검사가 수행됩니다.
Shield는 다음과 같은 표준 검사를 수행합니다.
-
Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon EC2 인스턴스에 연계된 EIP — Shield는 보호된 리소스에서 용량을 검색합니다. 용량은 대상의 인스턴스 타입, 인스턴스 크기 및 인스턴스가 향상된 네트워킹을 사용하는지 여부와 같은 기타 요인에 따라 달라집니다.
-
Classic Load Balancer와 Application Load Balancer - Shield는 대상 로드 밸런서 노드에서 용량을 검색합니다.
-
Network Load Balancer에 연계된 EIP - Shield는 대상 로드 밸런서에서 용량을 검색합니다. 용량은 대상 로드 밸런서의 그룹 구성과 무관합니다.
-
AWS Global Accelerator 표준 액셀러레이터 - Shield는 엔드포인트 구성에 근거하여 용량을 검색합니다.
이러한 평가는 포트 및 프로토콜과 같은 다양한 네트워크 트래픽 차원에 걸쳐 이루어집니다. 대상 리소스의 용량이 초과되면 Shield는 DDoS 완화 조치를 취합니다. Shield가 도입한 완화 조치는 DDoS 트래픽을 감소시키지만 제거하지는 못할 수도 있습니다. Shield는 알려진 DDoS 공격 벡터와 일치하는 트래픽 차원에서 리소스 용량의 일부가 초과되는 경우에도 완화할 수 있습니다. Shield는 이 완화 조치를 TTL(Time to Live)로 설정하며, 이 기간은 공격이 진행되는 한 연장됩니다.
참고
Shield가 도입한 완화 조치는 DDoS 트래픽을 감소시키지만 제거하지는 못할 수도 있습니다. Shield는 애플리케이션에 유효하지 않거나 합법적인 최종 사용자가 생성하지 않은 트래픽을 애플리케이션이 처리하지 못하도록 하기 위해 AWS Network Firewall와 같은 솔루션이나 iptables와 같은 호스트상의 방화벽으로 강화할 수 있습니다.
Shield Advanced 보호 기능은 기존 Shield 감지 활동에 다음을 추가합니다.
-
더 낮은 감지 임계값 - Shield Advanced는 계산된 용량의 절반에 완화 기능을 적용합니다. 이렇게 하면 느리게 증가하는 공격을 더 빠르게 완화하고 볼륨 측정 시그니처가 더 모호한 공격을 완화할 수 있습니다.
-
간헐적 공격 보호 - Shield Advanced는 공격 빈도와 지속 시간을 기준으로 TTL(Time to Live)을 기하급수적으로 늘려 방어 체계를 구축합니다. 따라서 리소스를 자주 표적으로 삼는 경우와 짧은 시간에 공격이 발생하는 경우, 방어 조치를 더 오래 유지할 수 있습니다.
-
상태 기반 감지 - Route 53 상태 체크를 Shield Advanced의 보호 리소스와 연계하면 상태 체크의 상태가 감지 로직에 사용됩니다. 감지된 이벤트 중에 상태 체크가 정상이면 Shield Advanced는 완화 조치를 취하기 전에 해당 이벤트가 공격이라는 확신을 더 높여야 합니다. 대신 상태 체크가 정상적이지 않은 경우, Shield Advanced는 신뢰가 설정되기 전에도 완화 조치를 취할 수 있습니다. 이 기능을 사용하면 오감지를 방지하고 애플리케이션에 영향을 미치는 공격에 더 빠르게 대응할 수 있습니다. Shield Advanced의 상태 체크에 대한 자세한 설명은 Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지을 참조하세요.