애플리케이션 내 여러 리소스에 대한 감지 로직

AWS Shield Advanced 보호 그룹을 사용하여 동일한 응용 프로그램에 속하는 보호된 리소스 컬렉션을 만들 수 있습니다. 그룹에 배치할 보호 리소스를 선택하거나 동일한 타입의 모든 리소스를 하나의 그룹으로 취급하도록 지정할 수 있습니다. 예를 들어, 모든 Application Load Balancer로 구성된 그룹을 생성할 수 있습니다. 보호 그룹을 만들면 Shield Advanced 감지는 그룹 내 보호된 리소스에 대한 모든 트래픽을 집계합니다. 이는 리소스가 많고 각 리소스의 트래픽 양은 적지만 총 볼륨이 큰 경우에 유용합니다. 보호된 리소스 간에 트래픽이 전송되는 블루-그린 배포의 경우, 보호 그룹을 사용하여 애플리케이션 기준을 유지할 수도 있습니다.

다음 방법 중 하나로 보호 그룹의 트래픽을 집계하도록 선택할 수 있습니다.

• 합계 - 이 집계는 보호 그룹 내 리소스 전반의 모든 트래픽을 합산합니다. 이 집계를 사용하면 새로 만든 리소스에 기존 기준이 적용되도록 하고 감지 민감도를 낮춰 오감지를 방지할 수 있습니다.

• 평균 - 이 집계에는 보호 그룹 전체의 모든 트래픽의 평균이 사용됩니다. 로드 밸런서와 같이 리소스 간 트래픽이 균일한 애플리케이션에 이 집계를 사용할 수 있습니다.

• 최대 - 이 집계는 보호 그룹에 있는 모든 리소스 중 가장 많은 트래픽을 사용합니다. 보호 그룹에 여러 계층의 애플리케이션이 있는 경우, 이 집계를 사용할 수 있습니다. 예를 들어 CloudFront 배포, Application Load Balancer 오리진, Application Load Balancer의 Amazon EC2 인스턴스 대상을 포함하는 보호 그룹이 있을 수 있습니다.

또한 보호 그룹을 사용하여 여러 인터넷 경계 엘라스틱 IP 또는 AWS Global Accelerator 표준 액셀러레이터를 대상으로 하는 공격에 대해 Shield Advanced가 방어 조치를 적용하는 속도를 개선할 수 있습니다. 보호 그룹의 한 리소스를 대상으로 하는 경우, Shield Advanced는 그룹 내 다른 리소스에 대한 신뢰를 설정합니다. 이렇게 하면 Shield Advanced 감지에 대한 경고가 발생하여 추가 완화 조치를 만드는 데 필요한 시간을 줄일 수 있습니다.

보호 그룹에 대한 자세한 설명은 AWS Shield Advanced 보호 그룹 섹션을 참조하세요.