공통 웹 애플리케이션을 위한 예제 Shield Advanced DDoS 복원력 아키텍처 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

공통 웹 애플리케이션을 위한 예제 Shield Advanced DDoS 복원력 아키텍처

이 페이지에서는 AWS 웹 애플리케이션을 사용하여 DDoS 공격에 대한 복원력을 극대화하기 위한 예제 아키텍처를 제공합니다.

어느 AWS 리전에서든 웹 애플리케이션을 구축하고 AWS이(가) 해당 리전에서 제공하는 탐지 및 완화 기능을 통해 자동 DDoS 보호를 받을 수 있습니다.

이 예시는 Classic Load Balancer, Application Load Balancer, Network Load Balancer, AWS Marketplace 솔루션 또는 고객의 자체 프록시 계층과 같은 리소스를 사용하여 사용자를 웹 애플리케이션으로 라우팅하는 아키텍처를 위한 것입니다. 이러한 웹 애플리케이션 리소스와 사용자 사이에 Amazon Route 53 호스팅 영역, Amazon CloudFront 배포 및 AWS WAF 웹 ACL을 삽입하여 DDoS 복원력을 개선할 수 있습니다. 이러한 삽입으로 애플리케이션 오리진을 난독화하고, 최종 사용자에게 더 가까운 요청을 처리하고, 애플리케이션 계층 요청 폭주를 감지하고 완화할 수 있습니다. CloudFront 및 Route 53을 통해 사용자에게 정적 또는 동적 콘텐츠를 제공하는 애플리케이션은 인프라 계층 공격을 실시간으로 완화하는 통합된 완전 인라인 DDoS 완화 시스템으로 보호됩니다.

이러한 아키텍처 개선 사항을 적용하면 Shield Advanced를 사용하여 Route 53 호스팅 영역과 CloudFront 배포를 보호할 수 있습니다. CloudFront 배포를 보호하는 경우, Shield Advanced는 AWS WAF 웹 ACL을 연결하고 이에 대한 속도 기반 규칙을 생성하라는 메시지를 표시하고, 자동 애플리케이션 계층 DDoS 완화 또는 선제적 대응을 활성화하는 옵션을 제공합니다. 선제적 대응 및 자동 애플리케이션 계층 DDoS 완화는 리소스에 연결하는 Route 53 상태 확인을 사용합니다. 이러한 옵션에 대해 자세히 알아보려면 AWS Shield Advanced에서의 리소스 보호(을)를 참조하세요.

다음 참조 다이어그램은 이러한 DDoS에 복원력이 있는 웹 애플리케이션용 아키텍처를 보여줍니다.

다이어그램은 AWS cloud(이)라는 제목이 붙은 사각형을 나타내며, 왼쪽에는 사용자 그룹이 있습니다. 클라우드 사각형 안에는 두 개의 다른 직사각형이 나란히 놓여져 있습니다. 왼쪽 사각형에는 AWS Shield Advanced(이)라는 제목이, 오른쪽 사각형에는 VPC(이)라는 제목이 지정되어 있습니다. 왼쪽 AWS Shield Advanced 삼각형에는 세 개의 AWS 아이콘이 세로 방향으로 쌓여져 있습니다. 아이콘은 위에서 아래쪽 방향으로 Amazon Route 53, Amazon CloudFront, AWS WAF입니다. CloudFront 아이콘에는 AWS WAF 아이콘과 오고 가는 화살표가 있습니다. 사용자 그룹 오른쪽에는 가로 방향으로 나오는 화살표가 있는데, 이는 분할되어 Route 53 및 CloudFront의 아이콘을 가리킵니다. Shield Advanced 사각형 오른쪽에 있는 VPC 사각형에는 두 개의 아이콘이 나란히 놓여져 있습니다. 이 아이콘은 왼쪽에서 오른쪽 방향으로 Elastic Load Balancing과 Amazon Elastic Compute Cloud입니다. CloudFront 아이콘 오른쪽에는 가로 방향으로 나오는 화살표가 있는데, 이는 Elastic Load Balancing 아이콘으로 이어집니다. Elastic Load Balancing 아이콘 오른쪽에는 가로 방향으로 나오는 화살표가 있는데, 이는 Amazon EC2 아이콘으로 이어집니다. 따라서 사용자 요청은 Route 53 및 CloudFront로 전송됩니다. CloudFront는 AWS WAF과(와) 상호 작용하고 로드 밸런서로 요청을 전송하며, 로드 밸런서는 결국 Amazon EC2에 요청을 전송합니다.

이 접근 방식이 웹 애플리케이션에 제공하는 이점은 다음과 같습니다.

  • 탐지 지연 없이 자주 사용되는 인프라 계층(계층 3 및 계층 4) DDoS 공격으로부터 보호합니다. 또한 리소스가 자주 표적이 되는 경우 Shield Advanced는 완화 기능을 더 길게 적용합니다. 또한 Shield Advanced는 네트워크 ACL(NACL)에서 추론된 애플리케이션 컨텍스트를 사용하여 업스트림에서 원치 않는 트래픽을 차단합니다. 이를 통해 소스에 더 가까운 장애를 격리하여 합법적인 사용자에게 미치는 영향을 최소화합니다.

  • TCP SYN flood로부터 보호합니다. CloudFront, Route 53 및 AWS Global Accelerator과(와) 통합된 DDoS 완화 시스템은 새로운 연결 시도에 도전하고 합법적인 사용자에게만 서비스를 제공하는 TCP SYN 프록시 기능을 제공합니다.

  • Route 53은 신뢰할 수 있는 DNS 응답을 처리하므로 DNS 애플리케이션 계층 공격으로부터 보호됩니다.

  • 웹 애플리케이션 계층 요청 폭주로부터 보호합니다. AWS WAF 웹 ACL에서 구성한 속도 기반 규칙은 규칙이 허용하는 것보다 더 많은 요청을 전송하는 소스 IP를 차단합니다.

  • 이 옵션을 활성화하기로 선택하는 경우 CloudFront 배포에 대한 자동 애플리케이션 계층 DDoS 완화가 적용됩니다. Shield Advanced는 자동 DDoS 완화를 통해 속도 기반 규칙을 알려진 DDoS 소스의 요청 양을 제한하는 배포의 관련 AWS WAF 웹 ACL에 유지합니다. 또한, Shield Advanced는 애플리케이션 상태에 영향을 미치는 이벤트를 탐지하면 웹 ACL에서 완화 규칙을 자동으로 생성, 테스트 및 관리합니다.

  • 이 옵션을 활성화하기로 선택하는 경우, Shield 대응 팀(SRT)을 통한 선제적 대응이 적용됩니다. Shield Advanced가 애플리케이션 상태에 영향을 미치는 이벤트를 감지하면, SRT는 고객이 제공한 연락처 정보를 사용하여 이에 대응하고 고객의 보안 또는 운영 팀과 함께 사전에 대응합니다. SRT는 트래픽의 패턴을 분석하고 AWS WAF 규칙을 업데이트하여 공격을 차단합니다.