기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
공통 웹 애플리케이션을 위한 예제 Shield Advanced DDoS 복원력 아키텍처
이 페이지에서는 AWS 웹 애플리케이션을 사용하여 DDoS 공격에 대한 복원력을 극대화하기 위한 예제 아키텍처를 제공합니다.
어느 AWS 리전에서든 웹 애플리케이션을 구축하고 AWS이(가) 해당 리전에서 제공하는 탐지 및 완화 기능을 통해 자동 DDoS 보호를 받을 수 있습니다.
이 예시는 Classic Load Balancer, Application Load Balancer, Network Load Balancer, AWS Marketplace 솔루션 또는 고객의 자체 프록시 계층과 같은 리소스를 사용하여 사용자를 웹 애플리케이션으로 라우팅하는 아키텍처를 위한 것입니다. 이러한 웹 애플리케이션 리소스와 사용자 사이에 Amazon Route 53 호스팅 영역, Amazon CloudFront 배포 및 AWS WAF 웹 ACL을 삽입하여 DDoS 복원력을 개선할 수 있습니다. 이러한 삽입으로 애플리케이션 오리진을 난독화하고, 최종 사용자에게 더 가까운 요청을 처리하고, 애플리케이션 계층 요청 폭주를 감지하고 완화할 수 있습니다. CloudFront 및 Route 53을 통해 사용자에게 정적 또는 동적 콘텐츠를 제공하는 애플리케이션은 인프라 계층 공격을 실시간으로 완화하는 통합된 완전 인라인 DDoS 완화 시스템으로 보호됩니다.
이러한 아키텍처 개선 사항을 적용하면 Shield Advanced를 사용하여 Route 53 호스팅 영역과 CloudFront 배포를 보호할 수 있습니다. CloudFront 배포를 보호하는 경우, Shield Advanced는 AWS WAF 웹 ACL을 연결하고 이에 대한 속도 기반 규칙을 생성하라는 메시지를 표시하고, 자동 애플리케이션 계층 DDoS 완화 또는 선제적 대응을 활성화하는 옵션을 제공합니다. 선제적 대응 및 자동 애플리케이션 계층 DDoS 완화는 리소스에 연결하는 Route 53 상태 확인을 사용합니다. 이러한 옵션에 대해 자세히 알아보려면 AWS Shield Advanced에서의 리소스 보호(을)를 참조하세요.
다음 참조 다이어그램은 이러한 DDoS에 복원력이 있는 웹 애플리케이션용 아키텍처를 보여줍니다.

이 접근 방식이 웹 애플리케이션에 제공하는 이점은 다음과 같습니다.
-
탐지 지연 없이 자주 사용되는 인프라 계층(계층 3 및 계층 4) DDoS 공격으로부터 보호합니다. 또한 리소스가 자주 표적이 되는 경우 Shield Advanced는 완화 기능을 더 길게 적용합니다. 또한 Shield Advanced는 네트워크 ACL(NACL)에서 추론된 애플리케이션 컨텍스트를 사용하여 업스트림에서 원치 않는 트래픽을 차단합니다. 이를 통해 소스에 더 가까운 장애를 격리하여 합법적인 사용자에게 미치는 영향을 최소화합니다.
-
TCP SYN flood로부터 보호합니다. CloudFront, Route 53 및 AWS Global Accelerator과(와) 통합된 DDoS 완화 시스템은 새로운 연결 시도에 도전하고 합법적인 사용자에게만 서비스를 제공하는 TCP SYN 프록시 기능을 제공합니다.
-
Route 53은 신뢰할 수 있는 DNS 응답을 처리하므로 DNS 애플리케이션 계층 공격으로부터 보호됩니다.
-
웹 애플리케이션 계층 요청 폭주로부터 보호합니다. AWS WAF 웹 ACL에서 구성한 속도 기반 규칙은 규칙이 허용하는 것보다 더 많은 요청을 전송하는 소스 IP를 차단합니다.
-
이 옵션을 활성화하기로 선택하는 경우 CloudFront 배포에 대한 자동 애플리케이션 계층 DDoS 완화가 적용됩니다. Shield Advanced는 자동 DDoS 완화를 통해 속도 기반 규칙을 알려진 DDoS 소스의 요청 양을 제한하는 배포의 관련 AWS WAF 웹 ACL에 유지합니다. 또한, Shield Advanced는 애플리케이션 상태에 영향을 미치는 이벤트를 탐지하면 웹 ACL에서 완화 규칙을 자동으로 생성, 테스트 및 관리합니다.
-
이 옵션을 활성화하기로 선택하는 경우, Shield 대응 팀(SRT)을 통한 선제적 대응이 적용됩니다. Shield Advanced가 애플리케이션 상태에 영향을 미치는 이벤트를 감지하면, SRT는 고객이 제공한 연락처 정보를 사용하여 이에 대응하고 고객의 보안 또는 운영 팀과 함께 사전에 대응합니다. SRT는 트래픽의 패턴을 분석하고 AWS WAF 규칙을 업데이트하여 공격을 차단합니다.