AWS Shield CloudFront 및 Route 53에 대한 완화 로직 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Shield CloudFront 및 Route 53에 대한 완화 로직

이 페이지에서는 Shield DDoS 완화가 CloudFront 및 Route 53에 대한 트래픽을 지속적으로 검사하는 방법을 설명합니다. 이러한 서비스는 AWS Shield의 DDoS 완화 용량에 대한 광범위한 액세스를 제공하고 최종 사용자에게 더 가까운 인프라에서 애플리케이션을 제공하는 엣지 로케이션의 전 세계 분산 네트워크에서 운영됩니다.

  • CloudFront – Shield DDoS 완화는 웹 애플리케이션이 서비스로 전달하는 데 유효한 트래픽만 허용합니다. 이를 통해 UDP 반사 공격과 같은 많은 일반적인 DDoS 벡터에 대한 자동 보호 기능을 제공합니다.

    CloudFront 는 애플리케이션 오리진에 대한 지속적인 연결을 유지하며, Shield TCP SYN 프록시 기능과의 통합을 통해 TCPSYN플러드가 자동으로 완화되고, 전송 계층 보안(TLS)이 엣지에서 종료됩니다. 이러한 결합된 기능을 통해 애플리케이션 오리진은 잘 구성된 웹 요청만 수신하고 하위 계층 DDoS 공격, 연결 플러드 및 TLS 남용으로부터 보호됩니다.

    CloudFront 는 DNS 트래픽 방향과 멀티캐스트 라우팅의 조합을 사용합니다. 이러한 기술은 소스에 가까운 공격을 완화하고, 장애를 격리하고, 알려진 최대 규모의 공격을 완화할 수 있는 용량에 대한 액세스를 보장함으로써 애플리케이션의 복원력을 개선합니다.

  • Route 53 - Shield 완화는 유효한 DNS 요청만 서비스에 연결할 수 있도록 허용합니다. Shield는 알려진 양호한 DNS 쿼리의 우선 순위를 지정하고 의심스럽거나 알려진 DDoS 공격 속성이 포함된 쿼리의 우선 순위를 해제하는 의심 점수를 사용하여 쿼리 홍수를 완화합니다.

    Route 53은 셔플 샤딩을 사용하여 IPv4 및 모두에 대해 모든 호스팅 영역에 4개의 해석기 IP 주소의 고유한 세트를 제공합니다IPv6. 각 IP 주소는 Route 53 위치의 다른 하위 집합에 해당합니다. 각 위치 하위 집합은 다른 하위 집합의 인프라와 부분적으로만 겹치는 권한 있는 DNS 서버로 구성됩니다. 이렇게 하면 사용자 쿼리가 실패한 이유가 무엇이든 재시도 시 성공적으로 처리됩니다.

    Route 53은 네트워크 근접성에 따라 쿼리를 DNS 가장 가까운 엣지 위치로 보내는 데 멀티캐스트 라우팅을 사용합니다. Anycast는 또한 많은 엣지 로케이션으로 DDoS 트래픽을 팬아웃하므로 공격이 단일 로케이션에 집중하지 못합니다.

완화 속도 외에도 CloudFront Route 53은 Shield의 전 세계적으로 분산된 용량에 대한 광범위한 액세스를 제공합니다. 이러한 기능을 활용하려면 이러한 서비스를 동적 또는 정적 웹 애플리케이션의 진입점으로 사용하십시오.

CloudFront 및 Route 53을 사용하여 웹 애플리케이션을 보호하는 방법에 대한 자세한 내용은 Amazon CloudFront 및 Amazon Route 53을 사용하여 동적 웹 애플리케이션을 DDoS 공격으로부터 보호하는 방법을 참조하세요. Route 53의 장애 격리에 대해 자세히 알아보려면 글로벌 장애 격리에 관한 사례 연구 섹션을 참조하세요.