DDoS 이벤트에 대한 대응

AWS 네트워크 및 전송 계층 (계층 3 및 계층 4) DDoS (분산 서비스 거부) 공격을 자동으로 완화합니다. Shield Advanced를 사용하여 Amazon EC2 인스턴스를 보호하는 경우, 공격 중에 Shield Advanced는 Amazon VPC 네트워크 ACL을 AWS 네트워크 경계에 자동으로 배포합니다. 이를 통해 Shield Advanced는 대규모 DDoS 이벤트에 대한 보호 기능을 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 내용은 네트워크 ACL을 참조하세요.

애플리케이션 계층 (계층 7) DDoS 공격의 경우 경보를 통해 탐지하고 고객에게 AWS AWS Shield Advanced 알리려고 시도합니다. CloudWatch 기본적으로, 유효한 사용자 트래픽이 실수로 차단되는 것을 방지하기 위해 완화 조치를 자동으로 적용하지 않습니다.

애플리케이션 계층(계층 7) 리소스의 경우, 공격에 대응하는 데 사용할 수 있는 옵션은 다음과 같습니다.

• 자체 완화 조치 제공 - 직접 공격을 조사하고 완화할 수 있습니다. 자세한 내용은 애플리케이션 계층 DDoS 공격을 수동으로 완화하기을 참조하세요.

• 지원팀에 문의 — Shield Advanced 고객인 경우, AWS Support 센터에 문의하여 완화 조치에 대한 도움을 받을 수 있습니다. 중요하고 긴급한 사례는 DDoS 전문가에게 직접 연결됩니다. 자세한 내용은 애플리케이션 계층 DDoS 공격 중에 지원 센터에 문의하기을 참조하세요.

또한 공격이 발생하기 전에 다음과 같은 완화 옵션을 사전에 활성화할 수 있습니다.

• Amazon CloudFront 배포의 자동 완화 — 이 옵션을 사용하면 Shield Advanced가 웹 ACL에서 완화 규칙을 정의하고 관리합니다. 자동 애플리케이션 계층 완화에 대한 자세한 내용은 Shield Advanced 자동 애플리케이션 계층 DDoS 완화(을)를 참조하세요.

• 사전 대응 — 애플리케이션 중 하나에 대한 대규모 애플리케이션 계층 공격이 AWS Shield Advanced 감지되면 SRT에서 사전에 연락을 취할 수 있습니다. SRT는 DDoS 이벤트를 분류하고 AWS WAF 완화를 생성합니다. SRT에서 고객에게 연락하여 고객의 동의 하에 AWS WAF 규칙을 적용할 수 있습니다. 이 옵션에 대한 자세한 내용은 선제적 대응 구성(을)를 참조하세요.

애플리케이션 계층 DDoS 공격 중에 지원 센터에 문의하기

AWS Shield Advanced 고객인 경우 AWS Support 센터에 문의하여 완화 조치에 대한 도움을 받을 수 있습니다. 중요하고 긴급한 사례는 DDoS 전문가에게 직접 연결됩니다. 를 사용하면 보호 분야에서 풍부한 경험을 갖춘 AWS Shield Advanced AWS Shield Response Team (SRT) AWS, Amazon.com 및 그 자회사에 복잡한 사례를 에스컬레이션할 수 있습니다. SRT에 대한 자세한 내용은 Shield 대응 팀(SRT) 지원(을)를 참조하세요.

Shield 대응 팀(SRT)의 지원을 받으려면 AWS Support 센터에 문의하세요. 사례에 대한 응답 시간은 선택한 심각도 및 AWS Support 계획 페이지에 설명된 응답 시간에 따라 결정됩니다.

다음 옵션을 선택합니다.

• 사례 유형: 기술 지원

• 서비스: DDoS(분산 서비스 거부)

• 카테고리: 인바운드 AWS

• 보안: 적절한 옵션 선택

당사 담당자와 논의할 때는 귀사가 DDoS 공격을 받고 있을 가능성이 있는 AWS Shield Advanced 고객이라고 설명하십시오. 담당자가 적절한 DDoS 전문가에게 통화를 연결합니다. 분산 서비스 거부(DDoS) 서비스 유형을 사용하여 AWS Support 센터에서 사례를 개설하는 경우 채팅 또는 전화로 DDoS 전문가와 직접 이야기할 수 있습니다. DDoS 지원 엔지니어는 공격을 식별하고, AWS 아키텍처 개선을 권장하고, DDoS 공격 완화를 위한 AWS 서비스 사용에 대한 지침을 제공할 수 있습니다.

애플리케이션 계층 공격의 경우, SRT에서 의심스러운 활동을 분석하도록 지원합니다. 리소스에 대한 자동 완화 조치를 활성화한 경우, SRT는 Shield Advanced가 공격에 맞서 자동으로 적용하는 완화 조치를 검토할 수 있습니다. 어떤 경우든 SRT는 문제를 검토하고 완화하는 데 도움을 줄 수 있습니다. SRT가 권장하는 방어 조치를 취하려면 SRT가 사용자 계정에서 AWS WAF 웹 액세스 제어 목록 (웹 ACL) 을 만들거나 업데이트해야 하는 경우가 많습니다. SRT가 이 작업을 수행하려면 고객의 허락이 필요합니다.

중요

AWS Shield Advanced활성화의 일환으로 다음 단계에 따라 공격 중에 지원하는 Shield 대응 팀(SRT) 액세스 권한 구성 데 필요한 권한을 SRT에 사전에 제공하는 것이 좋습니다. 허가를 미리 제공하면 실제 공격이 발생할 경우 지연을 방지하는 데 도움이 됩니다.

SRT는 DDoS 공격을 분류하여 공격 서명 및 패턴을 식별하도록 지원합니다. SRT는 사용자의 동의 하에 공격을 완화하기 위한 AWS WAF 규칙을 만들고 배포합니다.

가능한 공격 이전 또는 공격 중에 SRT에 문의하여 완화를 검토하고 사용자 지정 완화를 개발 및 배포할 수 있습니다. 예를 들어, 웹 애플리케이션을 실행하고 있으며 포트 80과 443만 열어야 하는 경우 SRT와 협력하여 포트 80과 443만 "허용"하도록 웹 ACL을 미리 구성할 수 있습니다.

계정 레벨에서 SRT에게 권한을 부여하고 문의합니다. 즉, Firewall Manager Shield Advanced 정책 내에서 Shield Advanced를 사용하는 경우 계정 소유자(Firewall Manager 관리자가 아님)가 SRT에게 문의하여 지원을 요청해야 합니다. Firewall Manager 관리자는 자신이 소유하는 계정에 대해서만 SRT에게 문의할 수 있습니다.

애플리케이션 계층 DDoS 공격을 수동으로 완화하기

리소스에 대한 이벤트 페이지의 활동이 DDoS 공격이라고 판단되면 웹 ACL에 자체 AWS WAF 규칙을 만들어 공격을 완화할 수 있습니다. Shield Advanced 고객이 아닌 경우 사용할 수 있는 유일한 옵션입니다. AWS WAF 추가 비용 없이 AWS Shield Advanced 포함되어 있습니다. 웹 ACL의 규칙 생성에 대한 자세한 내용은 AWS WAF 웹 액세스 제어 목록 (웹 ACL)(을)를 참조하세요.

를 사용하는 AWS Firewall Manager경우 Firewall Manager AWS WAF 정책에 AWS WAF 규칙을 추가할 수 있습니다.

잠재적인 애플리케이션 계층 DDoS 공격을 수동으로 완화하려면

1. 웹 ACL에 비정상적인 동작과 일치하는 기준을 사용한 규칙 문을 생성하십시오. 먼저 일치하는 요청 수를 계수하도록 구성합니다. 웹 ACL 및 규칙 문 구성에 대한 자세한 내용은 웹 ACL 규칙 및 규칙 그룹 평가 및 AWS WAF 보호 기능 테스트 및 조정을(를) 참조하세요.

   참고

   처음에는 Block 대신 Count 규칙 작업을 사용하여 항상 규칙을 먼저 테스트하십시오. 새 규칙이 올바른 요청을 식별한다고 확신할 수 있으면 해당 요청을 차단하도록 새 규칙을 수정할 수 있습니다.

2. 요청 수를 모니터링하여 일치하는 요청을 차단할지 여부를 결정합니다. 요청 볼륨이 계속해서 비정상적으로 많은데 규칙을 통해 큰 볼륨의 원인이 되는 요청을 캡처하고 있다고 확신하는 경우, 요청을 차단하도록 웹 ACL의 규칙을 변경합니다.

3. 이벤트 페이지를 계속 모니터링하여 트래픽이 원하는 대로 처리되고 있는지 확인하십시오.

AWS 빠르게 시작할 수 있도록 미리 구성된 템플릿을 제공합니다. 템플릿에는 사용자 지정하여 일반적인 웹 기반 공격을 차단하는 데 사용할 수 있는 일련의 AWS WAF 규칙이 포함되어 있습니다. 자세한 내용은 AWS WAF 보안 자동화를 참조하세요.