AWS Shield 작동 방식 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Shield 작동 방식

DDoS(분산 서비스 거부)공격은 여러 개의 손상된 시스템이 네트워크 또는 웹 애플리케이션과 같은 대상에 많은 양의 트래픽으로 대상에 서비스 장애를 일으키려고 시도하는 공격입니다. DDoS 공격은 합법적 사용자의 서비스 액세스를 방해할 수 있으며 과도한 트래픽 볼륨으로 인해 시스템에 충돌이 발생할 수 있습니다.

AWS는 DDoS 공격에 대해 AWS Shield Standard 및 AWS Shield Advanced라는 두 가지 수준의 보호를 제공합니다.

AWS Shield Standard

모두AWS고객은 다음과 같은 자동 보호 기능을 이용할 수 있습니다.AWS Shield Standard는 추가 비용 없이 사용할 수 있습니다.AWS Shield Standard는 웹 사이트나 애플리케이션을 대상으로 가장 흔하고, 자주 발생하는 네트워크 및 전송 계층 DDoS 공격을 방어합니다. 반면AWS Shield Standard모든 것을 보호하는 데 도움이AWS를 사용할 경우, Amazon CloudFront 및 Amazon Route 53 사용할 경우 특별한 이점이 있습니다. 이러한 서비스는 이미 알려진 모든 인프라(계층 3/4) 공격에 대해 포괄적인 가용성 보호를 받을 수 있습니다.

AWS Shield Advanced

공격으로부터 더 높은 수준의 보호를 위해 AWS Shield Advanced를 구독할 수 있습니다. AWS Shield Advanced를 구독하고 보호할 특정 리소스를 추가하면 AWS Shield Advanced는 리소스에서 실행되는 웹 애플리케이션에 대한 확장 DDoS 공격 방지를 제공합니다.

참고

AWS Shield Advanced는 Shield 어드밴스드에서 또는AWS Firewall ManagerShield vanced 정책. 이 기능은 리소스를 자동으로 보호하지 않습니다.

다음 리소스 유형 중 하나에 Shield Advanced 보호를 추가할 수 있습니다.

  • Amazon CloudFront 배포

  • Amazon Route 53

  • AWS Global Accelerator 액셀러레이터

  • Application Load Balancers

  • ELB (Elastic Load Balancing 서

  • Amazon Elastic Compute Cloud (Amazon EC2) 탄력적 IP 주소

네트워크 로드 밸런서 보호

Network Load Balancer (NLB) 에 Shield 고급 보호를 직접 연결할 수는 없지만 먼저 Amazon EC2 엘라스틱 IP 주소를 연결한 다음 엘라스틱 IP를 Shield 고급 보호 리소스로 추가하여 네트워크 로드 밸런서를 보호할 수 있습니다. 다음과 같은 일부 크기 조정 도구AWS Elastic Beanstalk에서는 Network Load Balancer 엘라스틱 IP를 자동으로 연결할 수 없습니다. 이러한 경우 먼저 엘라스틱 IP를 Network Load Balancer 연결한 다음 수동으로 Shield 고급 보호를 엘라스틱 IP에 추가해야 합니다.

예를 들어, Shield 고급을 사용하여 탄력적 IP 주소를 보호하면 Shield Advanced는 네트워크 ACL을AWS네트워크를 공격하는 동안 네트워크 ACL이 네트워크 경계에 있는 경우 Shield Advanced는 더 큰 DDoS 이벤트에 대한 보호를 제공할 수 있습니다. 일반적으로 네트워크 ACL은 Amazon VPC 내에서 Amazon EC2 인스턴스 근처에 적용됩니다. 네트워크 ACL은 Amazon VPC 와 인스턴스가 처리할 수 있을 정도의 큰 공격만 완화할 수 있습니다. Amazon EC2 인스턴스에 연결된 네트워크 인터페이스가 최대 10Gbps를 처리할 수 있는 경우 10Gbps를 초과하는 볼륨은 느려지며 해당 인스턴스에 대한 트래픽이 차단될 수 있습니다. 공격하는 동안 Shield AdvancedAWS테두리를 사용하여 다중 테라바이트의 트래픽을 처리할 수 있습니다. 네트워크 ACL은 네트워크의 일반적인 용량 이상으로 리소스에 대한 보호를 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 내용은 네트워크 ACL을 참조하십시오.

Shield Advanced가 공격을 감지하고 위험을 완화하는 지점은 웹 애플리케이션에 사용하는 아키텍처에 따라 다릅니다. 이 지점은 사용하는 인스턴스 유형, 인스턴스 크기 및 인스턴스 유형이 향상된 네트워킹을 지원하는지 여부와 같은 특성에 따라 달라집니다.

로AWS Shield Advanced고객의 경우 연중무휴로 연락할 수 있습니다.AWSDDoS 공격 중 도움을 받을 수 있는 Shield 대응팀 (SRT) 또한 AWS 리소스에서 공격에 대한 광범위한 가시성을 제공하는 고급 실시간 지표 및 보고서에 독점적으로 액세스할 수 있습니다. SRT의 도움을 받아AWS Shield Advanced에는 네트워크 계층(계층 3) 및 전송 계층(계층 4) 공격뿐 아니라 애플리케이션 계층(계층 7) 공격에 대한 지능형 DDoS 공격 감지 및 완화 기능이 포함됩니다.

SRT의 서비스를 사용하려면비즈니스 Support 플랜또는Enterprise Support 플랜.

또한 AWS Shield Advanced는 보호된 리소스에 대한 DDoS 공격으로 인한 AWS 요금 급증에 대비하여 몇 가지 비용 보호를 제공합니다.

AWS WAF는 추가 비용 없이 AWS Shield Advanced과 함께 제공됩니다. AWS Shield Advanced 요금에 대한 자세한 내용은 AWS Shield Advanced 요금을 참조하십시오.

AWS Shield Advanced 보호를 리소스에 추가하면 선택적으로 하나 이상의 추가 항목을 보호에 포함할 수 있습니다. 보호 추가는 리소스 유형에 따라 다르며 다음을 포함할 수 있습니다.

  • 사용자 지정AWS WAF웹 ACL 또는 비율 기반 규칙 (이전 섹션에서 설명한 내용 참조)3단계: 레이어 7 DDoS 완화 구성.

  • 상태 기반 탐지에 대한 Amazon Route 53 상태 확인 (다음 섹션에 설명된 내용 참조).

상태 기반 탐지 Shield Advanced

Shield Advanced 상태 기반 탐지의 상태를 사용하여AWS리소스를 사용하여 공격 탐지 및 완화의 응답성과 정확성을 향상합니다. 상태 기반 탐지를 사용하려면 Route 53 에서 리소스에 대한 상태 확인을 정의한 다음 Shield 고급 보호와 연결합니다. Route 53 상태 확인에 대한 자세한 내용은Amazon Route 53 가 리소스의 Health 확인하는 방법상태 확인의 생성 및 업데이트.

참고

Route 53 호스팅 영역에는 상태 확인을 사용하지 마십시오.

다음 리소스 유형에 대해 상태 기반 탐지를 활성화할 수 있습니다.

  • 탄력적 IP 주소 및 글로벌 액셀러레이터 액셀러레이터— 상태 기반 탐지는 네트워크 계층 및 전송 계층 이벤트 감지 및 완화의 정확성을 향상합니다.

    고급 Shield 사용하여 탄력적 IP 주소 또는 글로벌 액셀러레이터 액셀러레이터를 보호하면 위험을 완화하는 데 필요한 임계값을 줄일 수 있습니다. Shield Advanced는 트래픽이 애플리케이션 용량 내에 있더라도 공격을 더 빠르게 완화할 수 있으며 더 작은 규모의 공격을 완화할 수 있습니다.

    상태 기반 탐지를 추가하면 연결된 Route 53 상태 확인이 비정상인 기간 동안 Shield Advanced는 훨씬 더 빠르게 더 낮은 임계값으로 완화 작업을 완화할 수 있습니다.

  • CloudFront 배포 및 애플리케이션 로드 밸런서— 상태 기반 탐지는 웹 요청 플러드 탐지의 정확성을 향상합니다.

    CloudFront 배포 또는 Shield Advanced를 보호하면 트래픽 자체 유사성의 상당한 변화와 함께 트래픽 볼륨에 통계적으로 유의미한 편차가 있을 때 웹 요청 플러드 탐지 알림이 수신됩니다. 자체 유사성은 사용자 에이전트, 참조자 및 URI와 같은 속성을 기반으로 결정됩니다.

    상태 기반 탐지를 추가하면 수신되는 경고가 시기 적절하고 실행 가능할 가능성이 증가합니다. 상태 기반 탐지를 사용할 경우 연결된 Route 53 상태 확인이 비정상인 기간 동안 Shield Advanced는 경고에 대해 더 작은 편차를 요구하며 이벤트를 더 빠르게 보고합니다. 연결된 Route 53 상태 확인이 정상인 경우 쉴드 어드밴스드는 경고에 대해 더 큰 편차가 필요합니다.

Shield vanced 대응

선제적 대응을 사용할 경우, Shield Advanced에 의해 탐지된 이벤트가 발생했을 때 보호된 리소스와 연결된 Amazon Route 53 상태 확인에서 위험한 것으로 나타나면 SRT (쉴드 대응 팀) 이 직접 연락을 드립니다. 따라서 수상한 공격으로 인해 애플리케이션을 사용하지 못할 수도 있는 상황이 발생했을 때 좀 더 신속하게 전문가와 연락을 취할 수 있습니다.

참고

보호된 리소스에 대해 사전 대응적 참여를 사용하려면 Amazon Route 53 상태 확인을 리소스에 연결해야 합니다 (상태 기반 탐지 Shield Advanced.

사전 대비적 대응은 탄력적 IP 주소 및AWS Global Accelerator액셀러레이터를 사용할 수 있으며, Amazon CloudFront 배포 및 애플리케이션 로드 밸런서에 대한 웹 요청 flood.

선제적 대응을 사용하려면 SRT를 모니터링하기를 원하는 리소스에 대해 Shield Advanced 상태 기반 탐지를 구성합니다. 그런 다음 선제적 대응을 위해 1-10개의 연락처를 지정합니다. SRT는 비정상 보호 리소스와 관련된 감지된 이벤트 중에 정보를 사용하여 연락합니다. 연락처 정보를 제공한 후 선제적 대응을 활성화할 수 있습니다.

참고

선제적 대응을 사용하려면 Business Support 플랜 또는 Enterprise Support 플랜을 구독해야 합니다.

Advanced Shield 그룹

AWS Shield Advanced보호 그룹은 여러 보호된 리소스를 단일 단위로 처리하여 검색 및 완화 범위를 사용자 지정할 수 있는 셀프 서비스 방법을 제공합니다. 자원 그룹화는 많은 이점을 제공 할 수 있습니다.

  • 탐지 정확도를 개선합니다.

  • 실행 불가능한 이벤트 알림을 줄입니다.

  • 이벤트 중에도 영향을 받을 수 있는 보호된 리소스를 포함하도록 완화 작업의 적용 범위를 늘립니다.

  • 유사한 여러 타겟으로 공격을 완화하는 데 걸리는 시간을 단축합니다.

  • 새로 생성된 보호된 리소스를 자동으로 보호할 수 있습니다.

보호 그룹은 파란색/녹색 스왑과 같은 상황에서 오탐을 줄이는 데 도움이 될 수 있습니다. 이 경우 리소스가 0에 가까운 부하와 완전히 로드되는 사이에 번갈아 가며 사용됩니다. 또 다른 예는 그룹의 구성원 간에 공유되는 로드 수준을 유지하면서 리소스를 자주 만들고 삭제하는 경우입니다. 이러한 상황의 경우 개별 리소스를 모니터링하면 오탐지가 발생할 수 있지만 리소스 그룹의 상태를 모니터링하지는 않습니다.

보호된 모든 리소스, 특정 리소스 유형의 모든 리소스 또는 개별적으로 지정된 리소스를 포함하도록 보호 그룹을 구성할 수 있습니다. 보호 그룹 기준을 충족하는 새로 보호된 자원이 보호 그룹에 자동으로 포함됩니다. 보호된 리소스는 다중 보호 그룹에 속할 수 있습니다.

옵션 및 보호 그룹을 관리하는 방법에 대한 자세한 내용은관리AWS Shield Advanced보호 그룹.

DDoS 공격의 유형

AWS Shield Advanced은 다양한 유형의 공격에 대해 확장된 보호를 제공합니다. 예:

UDP(User Datagram Protocol) 반사 공격

공격자는 요청의 소스를 스푸핑하고 UDP를 사용하여 서버에서 대규모 응답을 끌어낼 수 있습니다. 공격을 받는 스푸핑된 IP 주소에 추가 네트워크 트래픽이 유도되면 대상 서버의 속도가 느려질 수 있으며 합법적인 사용자가 필요한 리소스에 액세스하지 못할 수 있습니다.

SYN flood

SYN flood 공격의 목적은 연결을 절반 정도 열린 상태로 유지하여 시스템에서 사용 가능한 리소스가 고갈되도록 하는 것입니다. 사용자가 웹 서버와 같은 TCP 서비스에 연결하면 클라이언트는 SYN 패킷을 전송합니다. 서버는 승인을 반환하고 클라이언트는 자체 승인을 반환하여 3방향 핸드셰이크를 완료합니다. SYN flood에서 세 번째 승인은 반환되지 않고 서버는 응답을 대기하는 상태로 유지됩니다. 이로 인해 다른 사용자가 서버에 연결하지 못할 수 있습니다.

DNS 쿼리 flood

DNS 쿼리 flood 공격에서 공격자는 여러 DNS 쿼리를 사용하여 DNS 서버의 리소스를 고갈시킵니다.AWS Shield Advanced는 Route 53 DNS 서버에서 DNS 쿼리 플러드 공격에 대한 보호 기능을 제공합니다.

HTTP flood/캐시 버스팅(계층 7) 공격

GET 및 POST flood를 포함한 HTTP flood 공격에서 공격자는 웹 애플리케이션의 실제 사용자로부터 나온 것처럼 보이는 여러 HTTP 요청을 전송합니다. 캐시 버스팅 공격은 HTTP 요청 쿼리 문자열에서 변형을 사용하여 에지 로케이션 캐시 콘텐츠 사용을 가로막고 콘텐츠가 오리진 웹 서버에서 제공되도록 강제하여 오리진 웹 서버에 손상을 일으킬 수 있는 추가 부담을 발생시키는 일종의 HTTP flood입니다.

이AWSShield 대응팀 (SRT)

다음으로 바꿉니다.AWS Shield Advanced를 사용하면 복잡한 DDoS 이벤트를AWS보호 분야에서 깊은 경험을 가진 Shield 대응팀 (SRT)AWS, Amazon.com 및 그 자회사에 대한 정보를 제공합니다.

계층 3 및 계층 4 공격의 경우 AWS는 사용자를 대신하여 자동 공격 감지를 제공하고 사전 대비적으로 완화를 적용합니다. 레이어 7 DDoS 공격의 경우AWS감지 및 알림 시도AWS Shield AdvancedCloudWatch 경보를 통해서도 되지만 사전 대비적으로 완화를 적용하지 않습니다. 이러한 조치는 유효한 사용자 트래픽을 실수로 삭제하지 않도록 하기 위한 것입니다.

가능한 공격 이전 또는 공격 중에 SRT에 문의하여 사용자 지정 완화를 개발 및 배포할 수 있습니다. 예를 들어, 웹 애플리케이션을 실행하고 있으며 포트 80과 443만 열어야 하는 경우 SRT를 통해 포트 80과 443만 “허용”하도록 ACL을 미리 구성할 수 있습니다.

AWS Shield Advanced 고객은 두 가지 옵션을 선택하여 계층 7 공격을 완화할 수 있습니다.

  • 자체 완화 제공: AWS WAF는 추가 비용 없이 AWS Shield Advanced과 함께 제공됩니다. 자체 AWS WAF 규칙을 생성하여 DDoS 공격을 완화할 수 있습니다. AWS​는 빠르게 시작할 수 있는 사전 구성된 템플릿을 제공합니다. 템플릿에는 일반적인 웹 기반 공격을 차단하기 위해 설계된 AWS WAF 규칙 세트가 포함되어 있습니다. 비즈니스 필요에 맞게 템플릿을 사용자 지정할 수 있습니다. 자세한 내용은 AWS WAF 보안 자동화를 참조하십시오.

    이 경우 SRT는 참여하지 않습니다. 하지만 SRT로부터 다음과 같은 모범 사례 구현에 대한 안내를 받을 수 있습니다.AWS WAF공통 보호.

  • SRT 참여: 공격 처리에서 추가 지원이 필요한 경우AWS SupportCenter. 중요하고 긴급한 사례는 DDoS 전문가에게 직접 연결됩니다. 다음으로 바꿉니다.AWS Shield Advanced에서는, 보호에 심층적인 경험을 갖추고 있는 SRT에게 복잡한 사례를 에스컬레이션할 수 있습니다.AWS, Amazon.com 및 그 자회사에 대한 정보를 제공합니다. AWS Shield Advanced 고객의 경우 심각도 높은 사례에 대한 특별 처리 지침을 요청할 수 있습니다.

    사례에 대한 응답 시간은 선택한 심각도 및AWS SupportPLAN페이지로 이동합니다.

    SRT는 DDoS 공격을 분류하여 공격 서명 및 패턴을 식별하도록 지원합니다. 사용자의 동의하에 SRT가 생성하고 배포합니다.AWS WAF규칙을 사용하여 공격을 완화합니다.

일시AWS Shield Advanced가 애플리케이션 중 하나에 대한 대규모 계층 7 공격을 감지하면 SRT가 사전 대비적으로 고객에게 연락할 수 있습니다. SRT는 DDoS 이벤트를 분류하고AWS WAF완화를 참조하십시오. 그런 다음 SRT는 사용자에게 연락하여AWS WAF규칙입니다.

중요

SRT는 고객이 의심스러운 활동을 분석하고 문제를 완화하도록 지원할 수 있습니다. 이 완화 작업을 수행하려면 SRT가 사용자의 계정에서 웹 ACL (웹 액세스 제어 목록) 을 생성하거나 업데이트해야 합니다. 하지만 그렇게 하려면 사용자의 허가가 필요합니다. 활성화의 일부로AWS Shield Advanced단원의 단계를 따르십시오.5단계: 구성AWSSRT 지원를 사용하여 SRT에 필요한 권한을 미리 제공할 수 있습니다. 허가를 미리 제공하면 실제 공격이 발생할 경우 지연을 방지하는 데 도움이 됩니다.

SRT의 서비스를 사용하려면비즈니스 Support 플랜또는Enterprise Support 플랜.

보호 계획 선택에 대한 도움말

대부분의 경우, AWS Shield Standard 보호만 있으면 충분합니다. AWS 서비스 및 기술은 대부분의 일반적인 DDoS 공격에 대해 복원력을 제공하도록 설계되었습니다. 이 내장 보호를 AWS WAF로 보완하고 다른 AWS 서비스를 심층 방어 전략으로 결합하면 일반적으로 적절한 공격 보호 및 완화 기능을 갖출 수 있습니다. 또한 기술 전문성을 갖추고 있고 계층 7 공격에 대한 모니터링 및 완화 활동을 완전히 제어하려는 경우 AWS Shield Standard가 적절한 선택일 수 있습니다.

비즈니스 또는 산업이 DDoS 공격의 가능성이 높은 대상이거나AWS는 계층 3, 계층 4 및 계층 7 공격에 대한 대부분의 DDoS 보호 및 완화 책임을 처리합니다.AWS Shield Advanced가 최선의 선택 일 수 있습니다.AWS Shield Advanced은 계층 3 및 계층 4 보호 및 완화를 제공할 뿐 아니라AWS WAF를 추가 비용 없이 설치하고 계층 7 공격에 대한 SRT 지원을 받을 수 있습니다. AWS WAF와 AWS Shield Standard를 사용하는 경우 자체적인 계층 7 보호 및 완화 프로세스를 설계해야 합니다.

또한 AWS Shield Advanced 고객은 AWS 리소스에 대한 DDoS 공격에 관한 세부 정보도 이용할 수 있습니다. AWS Shield Standard는 대부분의 일반적인 계층 3 및 계층 4 공격에 대한 자동 보호를 제공하지만 해당 공격의 세부 정보에 대한 가시성은 제한적입니다. AWS Shield Advanced은 계층 3, 계층 4 및 계층 7 DDoS 공격의 세부 정보에 대한 광범위한 데이터를 제공합니다.

또한 AWS Shield Advanced은 AWS 리소스에 대한 DDoS 공격에 대비하여 비용 보호도 제공합니다. 이 가치 있는 기능은 DDoS 공격으로 인한 예기치 않은 요금 급증을 방지하는 데 도움이 됩니다. 비용 예측이 중요한 경우 AWS Shield Advanced은 이러한 안정성을 제공할 수 있습니다.

다음 표에서는 AWS Shield Standard와 AWS Shield Advanced을 비교합니다.

기능 AWS Shield Standard AWS Shield Advanced
Active Monitoring
네트워크 흐름 모니터링
자동 상시 감지
자동화된 애플리케이션(계층 7) 트래픽 모니터링
DDoS Mitigations
SYN flood 및 UDP 반사 공격과 같은 일반적인 DDoS 공격에 대한 보호 지원
공격 중에 AWS 경계에 네트워크 ACL 자동 배포를 비롯하여 추가 DDoS 완화 용량에 액세스
사용자 지정 애플리케이션 계층(계층 7) 완화 예, 사용자가 생성한 AWS WAF ACL을 통해서입니다. 표준 AWS WAF 요금이 발생합니다. 예, 사용자가 생성하거나 SRT가 생성한AWS WAF에서는 ACL을 합니다. AWS Shield Advanced 가입의 일부로 포함됩니다.
즉각적인 규칙 업데이트 예, 사용자가 생성한 AWS WAF ACL을 통해서입니다. 표준 AWS WAF 요금이 발생합니다.
앱 취약성 보호를 위한 AWS WAF 예, 사용자가 생성한 AWS WAF ACL을 통해서입니다. 표준 AWS WAF 요금이 발생합니다.
Visibility and Reporting
계층 3/4 공격 알림
계층 3/4 공격 과학 수사 보고서(소스 IP, 공격 벡터 등)
계층 7 공격 알림 예, AWS WAF를 통해서입니다. 표준 AWS WAF 요금이 발생합니다.
계층 7 공격 과학 수사 보고서(Top Talker 보고서, 샘플링된 요청 등) 예.AWS WAF사용자가 만든 웹 ACL 표준 AWS WAF 요금이 발생합니다. 예.AWS WAF사용자가 만들거나 SRT가 사용자를 대신하여 생성하는 웹 ACLAWS WAF은 쉴드 어드밴스드 구독에 포함되어 있습니다.
계층 3/4/7 공격 기록 보고서
Shield Response Team (SRT) Support(Business Support 플랜 또는 Enterprise Support 플랜을 구독해야 합니다.)
심각도 높은 이벤트 중 이벤트 관리
공격 중 사용자 지정 완화
사후 공격 분석
Cost Protection(DDoS 조정 요금에 대한 서비스 크레딧)
ELB (Elastic Load Balancing 서
Amazon EC2 Elastic IP 주소
Amazon CloudFront 배포
Amazon Route 53
AWS Global Accelerator 액셀러레이터

DDoS 비용 보호를 포함한 AWS Shield Advanced 혜택을 받으려면 1년 구독 약정을 이행해야 합니다.

참고

BothAWS Shield Standard및AWS Shield Advanced는 DDoS 공격에 대해 상당한 보호를 제공하지만 Amazon CloudWatch 및AWS CloudTrail를 사용하여 모든AWS서비스. 모니터링에 대한 자세한 내용은AWS WAF를 사용하여 CloudWatch CloudTrail 사용하여 자세한 내용은AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced 모니터링AWS CloudTrail을 사용하여 API 호출 로깅.