AWS 리전에 대한 AWS Shield 완화 로직 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 리전에 대한 AWS Shield 완화 로직

이 페이지에서는 AWS 리전에서 Shield 이벤트 완화 로직이 작동하는 방법을 설명합니다.

AWS 리전에서 실행되는 리소스는 Shield 리소스 수준 탐지를 통해 설치된 AWS Shield DDoS 방어 시스템에 의해 보호됩니다. 리전 리소스에는 탄력적 IP(EIP), Classic Load Balancer, Application Load Balancer가 포함됩니다.

Shield는 완화 조치를 취하기 전에 대상 리소스와 해당 용량을 식별합니다. Shield는 용량을 사용하여 완화 기능을 통해 리소스에 전달할 수 있는 최대 총 트래픽을 결정합니다. 완화 기능에 포함된 액세스 제어 목록(ACL) 및 기타 셰이퍼를 사용하면 알려진 DDoS 공격 벡터와 일치하거나 대량으로 유입될 것으로 예상되지 않는 트래픽과 같은 일부 트래픽에 허용되는 볼륨이 감소할 수 있습니다. 이로 인해 UDP 반사 공격이나 TCP SYN 또는 FIN 플래그가 있는 TCP 트래픽에 대해 완화 방법으로 허용하는 트래픽의 양이 더욱 제한됩니다.

Shield는 용량을 결정하고 각 리소스 유형별로 완화 조치를 다르게 적용합니다.

  • Amazon EC2 인스턴스 또는 Amazon EC2 인스턴스에 연결된 EIP의 경우, Shield는 인스턴스 유형 및 기타 인스턴스 속성(예: 인스턴스에 향상된 네트워킹 기능이 활성화되어 있는지 여부)을 기반으로 용량을 계산합니다.

  • Application Load Balancer 또는 Classic Load Balancer의 경우, Shield는 로드 밸런서의 각 대상 노드에 대해 개별적으로 용량을 계산합니다. 이러한 리소스에 대한 DDoS 공격 완화는 Shield DDoS 완화와 로드 밸런서의 자동 규모 조정을 조합하여 제공됩니다. Shield 대응 팀(SRT)은 Application Load Balancer 또는 Classic Load Balancer 리소스에 대한 공격에 연루되면 추가 보호 조치로 규모 조정을 가속화할 수 있습니다.

  • Shield는 기본 AWS 인프라의 가용 용량을 기반으로 일부 AWS 리소스의 용량을 계산합니다. 이러한 리소스 유형에는 Network Load Balancer(NLB) 및 Gateway Load Balancer 또는 AWS Network Firewall를 통해 트래픽을 라우팅하는 리소스가 포함됩니다.

참고

Shield Advanced로 보호되는 EIP를 연결하여 Network Load Balancer를 보호하십시오. SRT를 활용하여 기본 애플리케이션의 예상 트래픽 및 용량을 기반으로 맞춤형 완화 기능을 구축할 수 있습니다.

Shield가 완화 조치를 취하면 Shield가 완화 로직에서 정의한 초기 속도 제한이 모든 Shield DDoS 방어 시스템에 동일하게 적용됩니다. 예를 들어 Shield가 초당 100,000개의 패킷(pps) 한도로 완화 조치를 취한다면 처음에는 모든 위치에서 100,000pps를 허용할 것입니다. 그런 다음 Shield는 지속적으로 완화 지표를 집계하여 실제 트래픽 비율을 결정하고 이 비율을 사용하여 각 위치의 속도 제한을 조정합니다. 이렇게 하면 오탐지를 방지하고 완화 조치가 지나치게 관대하지 않도록 할 수 있습니다.