AWS Shield 리전에 대한 AWS 완화 로직

이 페이지에서는 AWS 리전에서 Shield 이벤트 완화 로직이 작동하는 방법을 설명합니다.

AWS 리전에서 시작되는 리소스는 Shield 리소스 수준 탐지로 AWS Shield DDoS 배치된 완화 시스템으로 보호됩니다. 리전 리소스에는 ElasticIPs(EIPs), Classic Load Balancer 및 Application Load Balancer가 포함됩니다.

Shield는 완화 조치를 취하기 전에 대상 리소스와 해당 용량을 식별합니다. Shield는 용량을 사용하여 완화 기능을 통해 리소스에 전달할 수 있는 최대 총 트래픽을 결정합니다. 액세스 제어 목록(ACLs) 및 완화 내의 다른 쉐이퍼는 알려진 DDoS 공격 벡터와 일치하거나 대량으로 제공될 것으로 예상되지 않는 트래픽과 같은 일부 트래픽에 대해 허용되는 볼륨을 줄일 수 있습니다. 이렇게 하면 완화 조치에서 UDP 반사 공격 또는 TCP SYN 또는 FIN 플래그가 있는 트래픽에 대해 허용하는 TCP 트래픽의 양이 추가로 제한됩니다.

Shield는 용량을 결정하고 각 리소스 유형별로 완화 조치를 다르게 적용합니다.

• Amazon EC2 인스턴스 또는 Amazon EC2 인스턴스에 연결된 의 경우 ShieldEIP는 인스턴스 유형 및 인스턴스에 향상된 네트워킹이 활성화되었는지 여부와 같은 기타 인스턴스 속성을 기반으로 용량을 계산합니다.

• Application Load Balancer 또는 Classic Load Balancer의 경우, Shield는 로드 밸런서의 각 대상 노드에 대해 개별적으로 용량을 계산합니다. DDoS 이러한 리소스에 대한 공격 완화는 Shield DDoS 완화와 로드 밸런서의 자동 조정을 조합하여 제공됩니다. Shield 대응 팀(SRT)이 Application Load Balancer 또는 Classic Load Balancer 리소스에 대한 공격에 관여하면 추가 보호 조치로 조정을 가속화할 수 있습니다.

• Shield는 기본 AWS 인프라의 가용 용량을 기반으로 일부 AWS 리소스의 용량을 계산합니다. 이러한 리소스 유형에는 Network Load Balancer(NLBs)와 Gateway Load Balancer 또는 를 통해 트래픽을 라우팅하는 리소스가 포함됩니다 AWS Network Firewall.

참고

Shield Advanced로 보호EIPs되는 를 연결하여 Network Load Balancer를 보호합니다. SRT 와 협력하여 기본 애플리케이션의 예상 트래픽 및 용량에 따라 사용자 지정 완화 조치를 구축할 수 있습니다.

Shield가 완화 조치를 취하면 Shield가 완화 로직에서 정의하는 초기 속도 제한이 모든 Shield DDoS 완화 시스템에 동일하게 적용됩니다. 예를 들어 Shield가 초당 100,000개의 패킷(pps) 한도로 완화 조치를 취한다면 처음에는 모든 위치에서 100,000pps를 허용할 것입니다. 그런 다음 Shield는 지속적으로 완화 지표를 집계하여 실제 트래픽 비율을 결정하고 이 비율을 사용하여 각 위치의 속도 제한을 조정합니다. 이렇게 하면 오탐지를 방지하고 완화 조치가 지나치게 관대하지 않도록 할 수 있습니다.