메뉴
AWS WAF 및 AWS Shield Advanced
개발자 안내서 (API Version 2015-08-24)

AWS Shield 작동 방식

DDoS(분산 서비스 거부)공격은 여러 개의 손상된 시스템이 네트워크 또는 웹 애플리케이션과 같은 대상에 많은 양의 트래픽으로 대상에 서비스 장애를 일으키려고 시도하는 공격입니다. DDoS 공격은 합법적 사용자의 서비스 액세스를 방해할 수 있으며 과도한 트래픽 볼륨으로 인해 시스템에 충돌이 발생할 수 있습니다.

AWS는 DDoS 공격에 대해 AWS Shield Standard 및 AWS Shield Advanced라는 두 가지 수준의 보호를 제공합니다.

AWS Shield Standard

AWS 서비스와 기술은 처음부터 네트워크 및 전송 계층 DDoS 공격에 대해 복원력을 제공하도록 설계되었습니다. 또한 웹 애플리케이션 공격의 경우 AWS WAF를 사용하여 네트워크 계층 DDoS 요청 패턴을 대상으로 설정하고 DDoS 공격의 영향을 최소화하는 데 도움이 되는 웹 ACL(웹 액세스 제어 목록)을 구성할 수 있습니다. AWS Shield Standard라고 알려진 이 DDoS 보호는 AWS WAF와 함께 제공됩니다. AWS Shield Standard는 AWS WAF 및 기타 AWS 서비스에 대해 이미 지불하고 있는 비용 이외에 추가 비용 없이 제공됩니다.

AWS Shield Advanced

AWS Shield Advanced는 Elastic Load Balancing 로드 밸런서, CloudFront 배포, Route 53 호스팅 영역 및 Amazon EC2 인스턴스와 같이 탄력적 IP 주소에 연결된 리소스에 확장 DDoS 공격 보호를 제공합니다.

이 추가된 보호의 예로는 Shield Advanced를 사용하여 탄력적 IP 주소를 보호하는 경우 공격 중에 Shield Advanced가 AWS 네트워크 경계에 네트워크 ACL을 자동으로 배포합니다. 이를 통해 Shield Advanced는 더 큰 DDoS 이벤트에 대한 보호를 제공합니다. 일반적으로 네트워크 ACL은 Amazon VPC 내에서 근접한 Amazon EC2 인스턴스에 적용됩니다. 네트워크 ACL은 Amazon VPC 및 인스턴스가 처리할 수 있을 정도의 큰 공격만 완화할 수 있습니다. 예를 들어, Amazon EC2 인스턴스에 연결된 네트워크 인터페이스가 최대 10Gbps를 처리할 수 있는 경우 10Gbps를 초과하는 볼륨은 느려지며 해당 인스턴스에 대한 트래픽이 차단될 수 있습니다. 공격 중에 Shield Advanced는 네트워크 ACL을 AWS 경계로 승격시켜 다중 테라바이트의 트래픽을 처리할 수 있습니다. 네트워크 ACL은 네트워크의 일반적인 용량 이상으로 리소스에 대한 보호를 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 내용은 네트워크 ACL을 참조하십시오.

AWS Shield Advanced 고객은 연중 무휴 24시간 DDoS 대응 팀(DRT)에 문의하여 DDoS 공격 중 지원을 받을 수 있습니다. 또한 AWS 리소스에서 공격에 대한 광범위한 가시성을 제공하는 고급 실시간 지표 및 보고서에 독점적으로 액세스할 수 있습니다. DRT의 지원을 받아 AWS Shield Advanced에는 네트워크 계층(계층 3) 및 전송 계층(계층 4) 공격뿐 아니라 애플리케이션 계층(계층 7) 공격에 대한 지능형 DDoS 공격 감지 및 완화 기능이 포함됩니다.

또한 AWS Shield Advanced은 DDoS 공격으로 인한 AWS 요금 급증에 대비하여 몇 가지 비용 보호를 제공합니다. 이 비용 보호는 Elastic Load Balancing 로드 밸런서, CloudFront 배포, Route 53 호스팅 영역 및 Amazon EC2 인스턴스에 제공됩니다.

AWS WAF는 추가 비용 없이 AWS Shield Advanced과 함께 제공됩니다. AWS Shield Advanced 요금에 대한 자세한 내용은 AWS Shield Advanced 요금을 참조하십시오.

DDoS 공격의 유형

AWS Shield Advanced은 다양한 유형의 공격에 대해 확장된 보호를 제공합니다. 예:

UDP(User Datagram Protocol) 반사 공격

공격자는 요청의 소스를 스푸핑하고 UDP를 사용하여 서버에서 대규모 응답을 끌어낼 수 있습니다. 공격을 받는 스푸핑된 IP 주소에 추가 네트워크 트래픽이 유도되면 대상 서버의 속도가 느려질 수 있으며 합법적인 사용자가 필요한 리소스에 액세스하지 못할 수 있습니다.

SYN flood

SYN flood 공격의 목적은 연결을 절반 정도 열린 상태로 유지하여 시스템에서 사용 가능한 리소스가 고갈되도록 하는 것입니다. 사용자가 웹 서버와 같은 TCP 서비스에 연결하면 클라이언트는 SYN 패킷을 전송합니다. 서버는 승인을 반환하고 클라이언트는 자체 승인을 반환하여 3방향 핸드셰이크를 완료합니다. SYN flood에서 세 번째 승인은 반환되지 않고 서버는 응답을 대기하는 상태로 유지됩니다. 이로 인해 다른 사용자가 서버에 연결하지 못할 수 있습니다.

DNS 쿼리 flood

DNS 쿼리 flood 공격에서 공격자는 여러 DNS 쿼리를 사용하여 DNS 서버의 리소스를 고갈시킵니다. AWS Shield Advanced은 Route 53 DNS 서버에 대한 DNS 쿼리 flood 공격을 방지하는 데 도움이 됩니다.

HTTP flood/캐시 버스팅(계층 7) 공격

GET 및 POST flood를 포함한 HTTP flood 공격에서 공격자는 웹 애플리케이션의 실제 사용자로부터 나온 것처럼 보이는 여러 HTTP 요청을 전송합니다. 캐시 버스팅 공격은 HTTP 요청 쿼리 문자열에서 변형을 사용하여 에지 로케이션 캐시 콘텐츠 사용을 가로막고 콘텐츠가 오리진 웹 서버에서 제공되도록 강제하여 오리진 웹 서버에 손상을 일으킬 수 있는 추가 부담을 발생시키는 일종의 HTTP flood입니다.

AWS DDoS 대응 팀(DRT) 정보

AWS Shield Advanced에서 복잡한 이벤트는 AWS, Amazon.com 및 자회사 보호에 심층적인 경험을 갖추고 있는 DRT(AWS DDoS 대응 팀)에게 에스컬레이션될 수 있습니다.

계층 3 및 계층 4 공격의 경우 AWS는 사용자를 대신하여 자동 공격 감지를 제공하고 사전 대비적으로 완화를 적용합니다. 계층 7 DDoS 공격의 경우 AWS는 CloudWatch 경보를 통해 공격을 감지하고 AWS Shield Advanced 고객에게 알리려고 시도하지만 사전 대비적으로 완화를 적용하지 않습니다. 이러한 조치는 유효한 사용자 트래픽을 실수로 삭제하지 않도록 하기 위한 것입니다.

가능한 공격 이전 또는 공격 중에 DRT에 문의하여 사용자 지정 완화를 개발 및 배포할 수 있습니다. 예를 들어, 웹 애플리케이션을 실행하고 있으며 포트 80과 443만 열어야 하는 경우 DRT를 통해 포트 80과 443만 "허용"하도록 ACL을 미리 구성할 수 있습니다.

AWS Shield Advanced 고객은 두 가지 옵션을 선택하여 계층 7 공격을 완화할 수 있습니다.

  • 자체 완화 제공: AWS WAF는 추가 비용 없이 AWS Shield Advanced과 함께 제공됩니다. 자체 AWS WAF 규칙을 생성하여 DDoS 공격을 완화할 수 있습니다. AWS는 빠르게 시작할 수 있는 사전 구성된 템플릿을 제공합니다. 템플릿에는 일반적인 웹 기반 공격을 차단하기 위해 설계된 AWS WAF 규칙 세트가 포함되어 있습니다. 비즈니스 필요에 맞게 템플릿을 사용자 지정할 수 있습니다. 자세한 내용은 AWS WAF 보안 자동화 단원을 참조하십시오.

    이 경우 DRT가 참여하지 않습니다. 하지만 DRT로부터 AWS WAF 일반 보호와 같은 모범 사례 구현에 대한 안내를 받을 수 있습니다.

  • DRT 참여: 공격 처리에서 추가 지원이 필요한 경우 AWS Support Center에 문의할 수 있습니다. 중요하고 긴급한 사례는 DDoS 전문가에게 직접 연결됩니다. AWS Shield Advanced에서 복잡한 사례는 AWS, Amazon.com 및 자회사 보호에 심층적인 경험을 갖추고 있는 DRT에게 에스컬레이션될 수 있습니다. AWS Shield Advanced 고객의 경우 심각도 높은 사례에 대한 특별 처리 지침을 요청할 수 있습니다.

    사례에 대한 응답 시간은 선택한 심각도 및 AWS Support 계획 페이지에 설명된 응답 시간에 따라 결정됩니다.

    DRT는 DDoS 공격을 분류하여 공격 서명 및 패턴을 식별하도록 지원합니다. 사용자가 동의할 경우 DRT는 공격을 완화하기 위한 AWS WAF 규칙을 생성하고 배포합니다.

AWS Shield Advanced이 애플리케이션 중 하나에 대한 대규모 계층 7 공격을 감지하면 DRT가 사전 대비적으로 고객에게 연락할 수 있습니다. DRT는 DDoS 인시던트를 분류하고 AWS WAF 완화를 생성합니다. 그런 다음 DRT는 고객에게 연락하여 AWS WAF 규칙을 적용하기 위한 동의를 받습니다.

중요

DRT는 고객이 의심스러운 활동을 분석하고 문제를 완화하도록 지원할 수 있습니다. 이 완화 작업을 수행하려면 DRT가 사용자의 계정에서 웹 ACL(웹 액세스 제어 목록)을 생성하거나 업데이트해야 합니다. 하지만 그렇게 하려면 사용자의 허가가 필요합니다. AWS Shield Advanced 활성화의 일부로 3단계: DDoS 대응 팀에게 사용자를 대신하여 규칙 및 웹 ACL을 생성할 수 있는 권한 부여의 단계에 따라 DRT에게 필요한 허가를 사전에 제공하는 것이 좋습니다. 허가를 미리 제공하면 실제 공격이 발생할 경우 지연을 방지하는 데 도움이 됩니다.

보호 계획 선택에 대한 도움말

대부분의 경우 AWS Shield Standard 보호만 있으면 충분합니다. AWS 서비스 및 기술은 대부분의 일반적인 DDoS 공격에 대해 복원력을 제공하도록 설계되었습니다. 이 내장 보호를 AWS WAF로 보완하고 다른 AWS 서비스를 심층 방어 전략으로 결합하면 일반적으로 적절한 공격 보호 및 완화 기능을 갖출 수 있습니다. 또한 기술 전문성을 갖추고 있고 계층 7 공격에 대한 모니터링 및 완화 활동을 완전히 제어하려는 경우 AWS Shield Standard가 적절한 선택일 수 있습니다. 자체 DDoS 보호를 설계하는 데 도움이 되는 추가 리소스는 자습서 단원을 참조하십시오.

해당 비즈니스 또는 산업이 DDoS 공격의 대상이 될 가능성이 있는 경우 또는 계층 3, 계층 4 및 계층 7 공격에 대한 대부분의 DDoS 보호 및 완화 책임을 AWS가 처리하도록 하려는 경우 AWS Shield Advanced이 최상의 선택일 수 있습니다. AWS Shield Advanced은 계층 3 및 계층 4 보호 및 완화를 제공할 뿐 아니라 추가 비용 없이 AWS WAF와 함께 제공되며 계층 7 공격에 대한 DRT 지원도 제공합니다. AWS WAF와 AWS Shield Standard를 사용하는 경우 자체적인 계층 7 보호 및 완화 프로세스를 설계해야 합니다.

또한 AWS Shield Advanced 고객은 AWS 리소스에 대한 DDoS 공격에 관한 세부 정보도 이용할 수 있습니다. AWS Shield Standard는 대부분의 일반적인 계층 3 및 계층 4 공격에 대한 자동 보호를 제공하지만 해당 공격의 세부 정보에 대한 가시성은 제한적입니다. AWS Shield Advanced은 계층 3, 계층 4 및 계층 7 DDoS 공격의 세부 정보에 대한 광범위한 데이터를 제공합니다.

또한 AWS Shield Advanced은 AWS 리소스에 대한 DDoS 공격에 대비하여 비용 보호도 제공합니다. 이 가치 있는 기능은 DDoS 공격으로 인한 예기치 않은 요금 급증을 방지하는 데 도움이 됩니다. 비용 예측이 중요한 경우 AWS Shield Advanced은 이러한 안정성을 제공할 수 있습니다.

다음 표에서는 AWS Shield Standard와 AWS Shield Advanced을 비교합니다.

기능 AWS Shield Standard AWS Shield Advanced
활성 모니터링
네트워크 흐름 모니터링
자동 상시 감지
자동화된 애플리케이션(계층 7) 트래픽 모니터링
DDoS 완화
SYN flood 및 UDP 반사 공격과 같은 일반적인 DDoS 공격에 대한 보호 지원
공격 중에 AWS 경계에 네트워크 ACL 자동 배포를 비롯하여 추가 DDoS 완화 용량에 액세스
사용자 지정 애플리케이션 계층(계층 7) 완화 예, 사용자가 생성한 AWS WAF ACL을 통해서입니다. 표준 AWS WAF 요금이 발생합니다. 예, 사용자가 생성하거나 DRT가 생성한 AWS WAF ACL을 통해서입니다. AWS Shield Advanced 가입의 일부로 포함됩니다.
즉각적인 규칙 업데이트 예, 사용자가 생성한 AWS WAF ACL을 통해서입니다. 표준 AWS WAF 요금이 발생합니다.
앱 취약성 보호를 위한 AWS WAF 예, 사용자가 생성한 AWS WAF ACL을 통해서입니다. 표준 AWS WAF 요금이 발생합니다.
가시성 및 보고
계층 3/4 공격 알림
계층 3/4 공격 과학 수사 보고서(소스 IP, 공격 벡터 등)
계층 7 공격 알림 예, AWS WAF를 통해서입니다. 표준 AWS WAF 요금이 발생합니다.
계층 7 공격 과학 수사 보고서(Top Talker 보고서, 샘플링된 요청 등) 예, AWS WAF를 통해서입니다. 표준 AWS WAF 요금이 발생합니다.
계층 3/4/7 공격 기록 보고서
DDoS 대응 팀 및 지원
심각도 높은 이벤트 중 인시던트 관리
공격 중 사용자 지정 완화
사후 공격 분석
비용 보호(DDoS 조정 요금에 대한 서비스 크레딧)
Route 53
CloudFront
Elastic Load Balancing(ELB)
Amazon EC2

DDoS 비용 보호를 포함한 AWS Shield Advanced 혜택을 받으려면 1년 구독 약정을 이행해야 합니다.

참고

AWS Shield Standard 및 AWS Shield Advanced 모두 DDoS 공격에 대해 상당한 보호를 제공하지만 Amazon CloudWatch 및 AWS CloudTrail도 사용하여 모든 AWS 서비스를 모니터링하는 것이 좋습니다. CloudWatch 및 CloudTrail를 사용하여 AWS WAF 모니터링하는 방법에 대한 자세한 내용은 AWS WAF 및 AWS Shield Advanced 모니터링AWS CloudTrail을 사용하여 AWS WAF API 호출 로깅 단원을 참조하십시오.