이벤트 AWS Shield 완화 방법 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

이벤트 AWS Shield 완화 방법

애플리케이션을 보호하는 완화 로직은 애플리케이션 아키텍처에 따라 달라질 수 있습니다. Amazon CloudFront 및 Amazon Route 53으로 웹 애플리케이션을 보호하면 웹 및 DNS 사용 사례에만 적용되고 서비스에 대한 모든 트래픽을 보호하는 완화 기능을 활용할 수 있습니다. 애플리케이션의 진입점이 AWS 지역에서 실행되는 리소스인 경우 완화 로직은 서비스, 리소스 유형 및 사용 용도에 따라 달라집니다. AWS Shield Advanced

AWS DDoS 방어 시스템은 Shield 엔지니어가 개발하며 서비스와 긴밀하게 AWS 통합됩니다. 엔지니어는 대상 리소스의 용량 및 상태와 같은 아키텍처 측면을 고려합니다. Shield 엔지니어는 DDoS 방어 시스템의 효과와 성능을 지속적으로 모니터링하며 새로운 위협이 발견되거나 예측되면 신속하게 대응할 수 있습니다.

트래픽이나 부하 증가에 대응하여 규모를 조정하도록 애플리케이션을 설계하여 요청 폭주 규모가 작아도 영향을 받지 않도록 할 수 있습니다. Shield Advanced를 사용하여 리소스를 보호하면 DDoS 공격으로 인해 발생할 수 있는 예상치 못한 클라우드 요금 증가에 대비할 수 있습니다.

인프라 완화

인프라 계층 공격의 경우 AWS 네트워크 경계와 엣지 로케이션에 AWS Shield DDoS 방어 시스템이 있습니다. AWS AWS 인프라 전체에 여러 수준의 보안 제어를 배치하면 클라우드 애플리케이션에 제공됩니다 defense-in-depth .

Shield는 인터넷의 모든 수신 지점에서 DDoS 방어 시스템을 유지 관리합니다. Shield는 DDoS 공격을 탐지하면 각 진입 지점에 대해 동일한 위치에 있는 DDoS 방어 시스템을 통해 트래픽을 다시 라우팅합니다. 이로 인해 지연 시간이 눈에 띄게 증가하지 않으며 모든 AWS 지역 및 모든 엣지 로케이션에서 TeraBits 초당 100Tbps (Tbps) 이상의 완화 용량이 제공됩니다. Shield는 트래픽을 외부 또는 원격 스크러빙 센터로 다시 라우팅하지 않고도 리소스 가용성을 보호하므로 지연 시간이 늘어날 수 있습니다.

  • AWS 네트워크 경계에서 모든 AWS 서비스 또는 리소스에 대해 DDoS 방어 시스템은 인터넷에서 들어오는 인프라 계층 공격을 완화합니다. 시스템은 Shield 탐지 또는 Shield 대응 팀(SRT)의 엔지니어가 신호를 받으면 완화 조치를 수행합니다.

  • AWS 엣지 CloudFront 로케이션에서 DDoS 완화 시스템은 Amazon 배포 및 Amazon Route 53 호스팅 영역으로 전달되는 모든 패킷을 출처와 상관없이 지속적으로 검사합니다. 필요한 경우 시스템은 웹 및 DNS 트래픽을 위해 특별히 설계된 완화 기능을 적용합니다. Amazon CloudFront 및 Amazon Route 53을 사용하여 웹 애플리케이션을 보호할 때 얻을 수 있는 또 다른 이점은 Shield 탐지 신호 없이도 DDoS 공격을 즉시 완화할 수 있다는 것입니다.

애플리케이션 계층 완화

Shield Advanced는 Shield Advanced CloudFront 보호를 활성화한 Amazon 배포판 및 애플리케이션 로드 밸런서를 위한 웹 애플리케이션 계층 완화 기능을 제공합니다. 보호를 활성화하면 AWS WAF 웹 ACL을 리소스에 연결하여 웹 애플리케이션 계층 탐지가 활성화됩니다. 또한 자동 애플리케이션 계층 완화를 활성화하여 Shield Advanced가 DDoS 공격 중에 보호 기능을 관리하도록 지시하는 옵션도 있습니다.

Shield는 Shield Advanced를 활성화한 리소스에 대한 애플리케이션 계층 공격에 대한 사용자 지정 완화 기능과 자동 애플리케이션 계층 완화만 제공합니다. 자동 방어 기능을 갖춘 Shield Advanced는 알려진 DDoS 소스의 요청에 대해 AWS WAF 속도 제한을 적용하고 탐지된 DDoS 공격에 대응하여 사용자 지정 AWS WAF 보호 기능을 자동으로 추가하고 관리합니다. 이러한 유형의 완화 조치에 대한 자세한 내용은 Shield Advanced가 자동 완화를 관리하는 방법 섹션을 참조하세요.

웹 ACL의 속도 기반 규칙 (사용자가 추가했든 Shield Advanced 자동 애플리케이션 계층 완화 기능을 통해 추가했든 상관없이) 은 탐지 가능한 수준에 도달하기 전에 공격을 완화할 수 있습니다. 탐지에 대한 자세한 내용은 을 참조하십시오. 애플리케이션 계층 위협에 대한 감지 로직