AWS Shield Advanced 보호 관리 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Shield Advanced 보호 관리

AWS Shield Advanced 보호 설정은 언제든지 변경할 수 있습니다. 이렇게 하려면 선택한 보호에 대한 옵션을 살펴보고 변경할 설정을 수정합니다.

참고

여기에 제공된 콘솔 지침은 2020년에 출시된 최신 버전의 AWS Shield 콘솔에 대한 지침입니다. 콘솔에서 버전 간에 전환할 수 있습니다.

보호된 리소스를 관리하려면

  1. AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/wafv2/에서 AWS WAF 및 Shield 콘솔을 엽니다.

  2. 탐색 창에서 AWS ShieldProtected resources(보호된 리소스)를 선택합니다.

  3. Protected resources(보호된 리소스) 탭에서 보호할 리소스를 선택합니다.

  4. 보호 구성과 원하는 리소스 사양 옵션을 선택합니다.

  5. 각 리소스 보호 옵션을 살펴보고 필요에 따라 변경합니다. 다음 주제에서는 각 옵션에 대해 설명합니다.

계층 7 DDoS 완화 구성

및 Amazon CloudFront 리소스에 대한 공격으로부터 보호하기 위해 Application Load Balancer 웹 AWS WAF 및 비율 기반 규칙을 추가할 수 있습니다.ACLs AWS WAF 작동 방식에 대한 자세한 내용은 AWS WAF 단원을 참조하십시오.

AWS Firewall Manager Shield Advanced 정책 내에서 Shield Advanced를 사용하는 경우 웹 ACL 또는 비율 기반 규칙을 추가할 수 없습니다.

웹 ACLs 및 규칙을 추가하려면

  1. 계층 7 완화 구성DDoS 페이지에서 리소스가 아직 웹 ACL과 연결되어 있지 않은 경우 기존 웹 ACL을 선택하거나 직접 생성할 수 있습니다.

    웹 ACL을 생성하려면 아래 단계를 따르십시오.

    1. Create web ACL(웹 ACL 생성)을 선택합니다.

    2. 이름을 입력합니다. 웹 ACL을 생성한 후에는 이름을 변경할 수 없습니다.

    3. Create를 선택합니다.

    참고

    리소스가 이미 웹 ACL과 연결되어 있으면 다른 웹 ACL로 변경할 수 없습니다. 웹 ACL을 변경하려면 먼저 연결된 웹 ACLs를 리소스에서 제거해야 합니다. 자세한 내용은 웹 ACL을 AWS 리소스와 연결 또는 연결 해제 단원을 참조하십시오.

    사용자 고유의 웹 ACL을 생성하려면 다음 단계를 수행합니다.

  2. 비율 기반 규칙이 정의되어 있지 않은 각각의 연결된 웹 ACL에 대해 Add rate limit rule(비율 제한 규칙 추가)을 선택한 후 다음 단계를 수행하여 규칙을 추가할 수 있습니다.

    1. 이름을 입력합니다.

    2. 비율 제한을 입력합니다. 비율 기반 규칙 작업이 IP 주소에 적용되기 전에 단일 IP 주소로부터 5분간 허용되는 최대 요청 수입니다. IP 주소의 요청이 제한 값 아래로 떨어지면 작업이 중단됩니다.

    3. 요청 수가 제한을 초과하는 동안 IP 주소의 요청을 계산하거나 차단하도록 규칙 작업을 설정합니다. IP 주소 요청 비율이 변경된 후 1~2분이 지나면 규칙 작업의 애플리케이션 및 제거가 적용될 수 있습니다.

    4. [Add another rule]을 선택합니다.

  3. [Next]를 선택합니다.

상태 확인 기반 DDoS 탐지 구성

Amazon Route 53 상태 확인을 사용하여 AWS Shield Advanced에서 네트워크 계층, 전송 계층 및 애플리케이션 계층 공격을 탐지 및 완화하는 방법을 개선할 수 있습니다. 이 기능의 작동 방식에 대한 자세한 내용은 Shield Advanced 상태 기반 탐지 단원을 참조하십시오.

상태 기반 탐지를 시작하려면 Shield Advanced로 보호하려는 AWS 리소스에 대한 Route 53 상태 확인을 생성합니다. Route 53 상태 확인에 대한 자세한 내용은 Amazon Route 53에서 리소스 상태를 확인하는 방법 및 상태상태 확인 생성 및 업데이트를 참조하십시오. 상태 확인을 생성한 후 다음 절차에 따라 해당 상태 확인을 보호 기능과 연결합니다.

참고

사용하는 상태 확인이 보호된 리소스의 상태에 적절하며 보호에 항상 사용할 수 있도록 유지되는지 확인하는 것은 사용자의 책임입니다. Shield Advanced는 어떤 방식으로든 상태 확인을 관리하지 않습니다.

다음 절차에서는 Amazon Route 53 상태 확인을 보호와 연결하는 방법을 보여 줍니다.

상태 기반 DDoS 탐지를 구성하려면

  1. 관리하려는 리소스에 대한 Configure health check based DDoS detection - optional(선택 사항)(상태 확인 구성) 페이지에서 Associated Health Check(연결된 상태 확인)(연결된 상태 확인) 아래에서 보호와 연결할 상태 확인의 ID를 선택합니다.

    참고

    필요한 상태 확인이 보이지 않으면 Route 53 콘솔로 이동하여 상태 확인과 해당 ID를 확인합니다. 자세한 내용은 상태 확인 생성 및 업데이트를 참조하십시오.

  2. [Next]를 선택합니다.

Shield Advanced 상태 확인 상태 설정

보호와 연결하는 상태 확인의 상태는 Shield 콘솔에서 다음 값으로 표시될 수 있습니다.

  • 정상 — 상태 확인을 사용할 수 있으며 정상으로 보고됩니다.

  • 비정상 — 상태 확인을 사용할 수 있으며 비정상으로 보고됩니다.

  • 사용 불가 — Shield Advanced에서 상태 확인을 사용할 수 없습니다 . 이 문제를 해결하려면 먼저 Shield Advanced의 보호 항목에서 상태 확인의 연결을 해제합니다. 그런 다음, Route 53에서 보호에 대한 새 상태 확인을 생성하고 해당 ID를 기록해 둡니다. 마지막으로 이 주제의 절차에 따라 새 상태 확인을 보호와 연결합니다. 사용 불가로 지정된 상태 확인을 다시 연결하지 마십시오.

경보 및 알림 생성

다음 절차에서는 보호된 리소스에 대한 CloudWatch 경보를 관리하는 방법을 보여줍니다.

참고

CloudWatch는 추가 요금이 발생합니다. 요금은 CloudWatchAmazon 요금CloudWatch을 참조하십시오.

경보 및 알림을 생성하려면

  1. 보호 페이지 경보 및 알림 생성 - 선택 사항에서 수신할 경보 및 알림에 대한 SNS 주제를 구성합니다. 알림을 받지 않으려는 리소스의 경우 주제 없음을 선택합니다. 주제를 추가하거나 새 주제를 생성할 수 있습니다.Amazon SNS

  2. Amazon SNS 주제를 생성하려면 아래 단계를 따르십시오.

    1. 드롭다운 목록에서 SNS 주제 생성을 선택합니다.

    2. 주제 이름을 입력합니다.

    3. 선택적으로 Amazon SNS 메시지가 전송될 이메일 주소를 입력한 다음 Add email(이메일 추가)을 선택합니다. 여러 개를 입력할 수 있습니다.

    4. Create를 선택합니다.

  3. [Next]를 선택합니다.