AWS Firewall ManagerAWS Shield Advanced 정책 설정 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Firewall ManagerAWS Shield Advanced 정책 설정

AWS Firewall Manager 를 사용하여 조직 전체에서 AWS Shield Advanced 보호를 활성화할 수 있습니다.

중요

Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 AWS 자원에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.

Firewall Manager를 사용하여 Shield Advanced 보호를 활성화하려면 다음 단계를 순서대로 수행합니다.

1단계: 사전 조건 완료

AWS Firewall Manager의 계정을 준비하려면 몇 가지 필수 단계를 거쳐야 합니다. 이 단계는 AWS Firewall Manager 필수 조건에서 설명합니다. 2단계: Shield Advanced 정책 생성 및 적용으로 진행하기 전에 사전 조건을 모두 완료하십시오.

2단계: Shield Advanced 정책 생성 및 적용

사전 조건을 완료한 후 AWS Firewall Manager Shield Advanced 정책을 생성합니다. Firewall Manager Shield Advanced 정책에는 Shield Advanced로 보호할 계정과 리소스가 포함되어 있습니다.

중요

Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 AWS 자원에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.

Firewall Manager Shield Advanced 정책을 생성하려면(콘솔)
  1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. 정책 생성을 선택합니다.

  4. 정책 유형으로는 Shield Advanced를 선택합니다.

    Shield Advanced 정책을 생성하려면 Firewall Manager 관리자 계정이 Shield Advanced를 구독한 상태여야 합니다. 가입되지 않은 경우 가입하라는 메시지가 나타납니다. 구독 비용에 관한 자세한 내용은 AWS Shield Advanced 가격을 참조하세요.

    참고

    각 회원 계정에서 수동으로 Shield Advanced를 구독할 필요가 없습니다. Firewall Manager는 정책을 생성할 때 이 작업을 수행합니다. 계정의 리소스를 계속해서 보호하려면 각 계정이 Firewall Manager 및 Shield Advanced를 계속 구독하고 있어야 합니다.

  5. 리전에서를 선택합니다 AWS 리전. Amazon CloudFront 리소스를 보호하려면 전역을 선택합니다.

    여러 리전(리소스 제외)의 CloudFront 리소스를 보호하려면 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

  6. Next(다음)를 선택합니다.

  7. 이름에 설명하는 이름을 입력합니다.

  8. (글로벌 리전만 해당) 글로벌 리전 정책의 경우 Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 관리할지 여부를 선택할 수 있습니다. 이 자습서에서는 이 옵션을 기본 설정인 무시로 그대로 두십시오.

  9. 정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 선택합니다.

  10. Next(다음)를 선택합니다.

  11. AWS 계정 이 정책은에 적용되므로 포함하거나 제외할 계정을 지정하여 정책의 범위를 좁힐 수 있습니다. 이 자습서에서는 내 조직에 있는 모든 계정 포함을 선택합니다.

  12. 보호할 리소스 타입을 선택합니다.

    Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 대신 AWS 자원에 AWS Shield Advanced 보호 추가의 Shield Advanced 지침을 따르십시오.

  13. 리소스의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 섹션을 참조하세요AWS Firewall Manager 정책 범위 사용.

    리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

  14. Next(다음)를 선택합니다.

  15. 정책 태그에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

  16. Next(다음)를 선택합니다.

  17. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

    정책 작업Identify resources that don’t comply with the policy rules, but don’t auto remediate(정책 규칙을 준수하지 않는 리소스를 식별하지만 자동으로 문제를 해결하지 않음)으로 설정되어 있는지 확인합니다. 이렇게 하면 정책이 활성화되기 전에 변경 사항을 검토할 수 있습니다.

  18. 정책이 마음에 들면 정책 생성를 선택합니다.

    AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 보류 중이 표시되고 자동 문제 해결 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기 섹션을 참조하세요.

계속해서 3단계: (선택 사항) Shield 대응 팀 승인(SRT)로 이동하십시오.

3단계: (선택 사항) Shield 대응 팀 승인(SRT)

의 이점 중 하나는 Shield 대응 팀()의 지원 AWS Shield Advanced 입니다SRT. 잠재적 DDoS 공격이 발생하면 AWS Support 센터에 문의할 수 있습니다. 필요한 경우 지원 센터는 문제를 로 에스컬레이션합니다SRT. SRT는 의심스러운 활동을 분석하고 문제를 완화하는 데 도움이 됩니다. 이러한 완화에는 종종 계정ACLs에서 AWS WAF 규칙 및 웹을 생성하거나 업데이트하는 작업이 포함됩니다. 는 AWS WAF 구성을 검사하고 AWS WAF 규칙 및 웹을 생성하거나 업데이트할 SRT 수 ACLs 있지만, 팀에서 그렇게 하려면 권한이 필요합니다. 설정의 일환으로 SRT에 필요한 권한을 AWS Shield Advanced사전에 제공하는 것이 좋습니다. 권한 부여를 미리 제공하면 실제 공격이 발생할 경우 완화 지연을 방지하는 데 도움이 됩니다.

계정 수준에서에 권한을 부여하고 연락SRT합니다. 즉, Firewall Manager 관리자가 아닌 계정 소유자는 다음 단계를 수행하여가 잠재적 공격을 완화할 SRT 수 있는 권한을 부여해야 합니다. Firewall Manager 관리자는 자신이 소유한 계정에 SRT 대해서만에 권한을 부여할 수 있습니다. 마찬가지로 계정 소유자만 지원을 SRT 위해에 문의할 수 있습니다.

참고

의 서비스를 사용하려면 Business Support 플랜 또는 Enterprise Support 플랜을 구독해야 SRT합니다.

가 사용자를 대신하여 잠재적 공격을 완화SRT할 수 있도록 권한을 부여하려면의 지침을 따르세요Shield 대응팀(SRT) 지원을 통한 관리형 DDoS 이벤트 응답. 동일한 단계를 사용하여 언제든지 SRT 액세스 및 권한을 변경할 수 있습니다.

계속해서 4단계: Amazon SNS 알림 및 Amazon CloudWatch 경보 구성로 이동하십시오.

4단계: Amazon SNS 알림 및 Amazon CloudWatch 경보 구성

Amazon SNS 알림 또는 CloudWatch 경보를 구성하지 않고도이 단계를 계속할 수 있습니다. 그러나 이러한 경보 및 알림을 구성하면 가능한 DDoS 이벤트에 대한 가시성이 크게 향상됩니다.

Amazon를 사용하여 보호된 리소스에서 잠재적 DDoS 활동을 모니터링할 수 있습니다SNS. 가능한 공격에 대한 알림을 받으려면 각 리전에 대해 Amazon SNS 주제를 생성합니다.

중요

잠재적 DDoS 활동에 대한 Amazon SNS 알림은 실시간으로 전송되지 않으며 지연될 수 있습니다. 잠재적 DDoS 활동에 대한 실시간 알림을 활성화하려면 CloudWatch 경보를 사용할 수 있습니다. 경보는 보호된 리소스가 있는 계정의 DDoSDetected 지표를 기반으로 해야 합니다.

Firewall Manager에서 Amazon SNS 주제를 생성하려면(콘솔)
  1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 필수 조건을 참조하세요.

  2. 탐색 창의에서 설정을 AWS FMS선택합니다.

  3. [Create new topic]을 선택합니다.

  4. 주제 이름을 입력합니다.

  5. Amazon SNS 메시지가 전송될 이메일 주소를 입력한 다음 이메일 주소 추가를 선택합니다.

  6. SNS 구성 업데이트를 선택합니다.

Amazon CloudWatch 경보 구성

Shield Advanced는 모니터링할 수 CloudWatch 있는의 탐지, 완화 및 상위 기여자 지표를 기록합니다. 자세한 내용은 AWS Shield Advanced 지표. CloudWatch incurs 추가 비용을 참조하세요. CloudWatch 요금은 Amazon CloudWatch 요금을 참조하세요.

CloudWatch 경보를 생성하려면 Amazon CloudWatch 경보 사용의 지침을 따르세요. 기본적으로 Shield Advanced는 잠재적 DDoS 이벤트를 한 번만 표시한 후 알림을 보내 CloudWatch 도록를 구성합니다. 필요한 경우 CloudWatch 콘솔에서 이러한 설정을 변경하여 여러 지표가 탐지된 후에만 알리도록 구성할 수 있습니다.

참고

경보 외에도 CloudWatch 대시보드를 사용하여 잠재적 DDoS 활동을 모니터링할 수도 있습니다. 대시보드는 Shield Advanced에서 원시 데이터를 수집한 후 판독이 가능한 지표로 실시간에 가깝게 처리합니다. Amazon의 통계 CloudWatch 를 사용하여 웹 애플리케이션 또는 서비스의 성능을 파악할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서정의 CloudWatch 섹션을 참조하세요.

CloudWatch 대시보드 생성에 대한 지침은 섹션을 참조하세요Amazon CloudWatch를 사용한 모니터링. 대시보드에 추가할 수 있는 특정 Shield Advanced 지표에 대한 자세한 내용은 AWS Shield Advanced 지표을 참조하세요.

Shield Advanced 구성을 완료했으면 Shield Advanced를 사용한 DDoS 이벤트 가시성에서 이벤트를 볼 수 있는 옵션을 숙지하십시오.