AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 가이드 (API 버전 2015-08-24)

DDoS 공격에 대한 대응

AWS는 계층 3 및 계층 4 DDoS 공격을 자동으로 처리합니다. Shield Advanced를 사용하여 Amazon EC2 인스턴스를 보호하는 경우 공격 중에 Shield Advanced가 Amazon VPC 네트워크 ACL을 AWS 네트워크 경계에 자동으로 배포합니다. 이렇게 하면 Shield Advanced는 더 큰 DDoS 이벤트에 대한 보호를 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 내용은 네트워크 ACL을 참조하십시오.

CloudWatch 의 DDoS 경보가 계층 7 공격 가능성을 나타내는 경우 다음과 같은 두 가지 옵션이 있습니다.

  • 공격을 직접 조사하고 완화합니다. 해당 활동이 DDoS 공격임을 확인할 경우 직접 AWS WAF 규칙을 생성하여 공격을 완화할 수 있습니다. AWS WAF는 추가 비용 없이 AWS Shield Advanced와 함께 제공됩니다. AWS는 빠르게 시작할 수 있는 사전 구성된 템플릿을 제공합니다. 템플릿에는 일반적인 웹 기반 공격을 차단하기 위해 설계된 AWS WAF 규칙 세트가 포함되어 있습니다. 비즈니스 필요에 맞게 규칙을 사용자 지정할 수 있습니다. 자세한 내용은 AWS WAF 보안 자동화웹 ACL 생성 단원을 참조하십시오.

    AWS Firewall Manager을 사용하는 경우 이러한 규칙을 Firewall Manager-AWS WAF 정책에 추가할 수 있습니다.

  • AWS Shield Advanced 고객인 경우 AWS Support Center에 문의하여 완화에 대한 도움을 받을 수 있습니다. 중요하고 긴급한 사례는 DDoS 전문가에게 직접 연결됩니다. AWS Shield Advanced에서는 AWS, Amazon.com 및 자회사 보호에 심층적인 경험을 갖추고 있는 DRT에게 복잡한 사례를 에스컬레이션할 수 있습니다.

    DRT 지원을 받으려면 AWS Support Center 단원을 참조하십시오. 다음 옵션을 선택합니다.

    • 사례 유형: 기술 지원

    • 서비스: DDoS(분산 서비스 거부)

    • 범주: AWS로 수신

    • 보안: 적절한 옵션 선택

    담당자와 상의할 때 DDoS 공격을 받고 있을 수 있는 AWS Shield Advanced 고객임을 설명합니다. 담당자가 적절한 DDoS 전문가에게 통화를 연결합니다. Distributed Denial of Service(DDoS) 서비스 유형을 사용하여 AWS Support Center에서 사례를 개설하는 경우 채팅 또는 전화로 DDoS 전문가와 직접 이야기할 수 있습니다. DDoS 지원 엔지니어는 공격을 식별하도록 돕고 AWS 아키텍처의 개선 사항을 추천하며 DDoS 공격 완화를 위한 AWS 서비스 사용을 안내할 수 있습니다.

    중요

    계층 7 공격의 경우 DRT는 의심스러운 활동을 분석한 다음 문제를 완화하도록 돕습니다. 이 완화 작업을 수행하려면 DRT가 사용자의 계정에서 AWS WAF 웹 ACL(웹 액세스 제어 목록)을 생성하거나 업데이트해야 합니다. 하지만 그렇게 하려면 사용자의 허가가 필요합니다. AWS Shield Advanced 활성화의 일부로 4단계: (선택 사항) DDoS 대응 팀에 권한 부여의 단계에 따라 DRT에게 필요한 허가를 사전에 제공하는 것이 좋습니다. 허가를 미리 제공하면 실제 공격이 발생할 경우 지연을 방지하는 데 도움이 됩니다.

    가능한 공격 이전 또는 공격 중에 DRT에 문의하여 사용자 지정 완화를 개발 및 배포할 수 있습니다. 예를 들어, 웹 애플리케이션을 실행하고 있으며 포트 80과 443만 열어야 하는 경우 DRT와 협력하여 포트 80과 443만 "허용"하도록 웹 ACL을 미리 구성할 수 있습니다.

    계정 레벨에서 DRT에게 권한을 부여하고 문의합니다. 즉, Firewall Manager-Shield Advanced 정책 내에서 Shield Advanced를 사용하는 경우 계정 소유자(Firewall Manager 관리자가 아님)가 DRT에게 문의하여 지원을 요청해야 합니다. Firewall Manager 관리자는 자신이 소유하는 계정에 대해서만 DRT에게 문의할 수 있습니다.