기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
이 페이지에서는 자동 애플리케이션 계층 DDoS 완화가 Firewall Manager와 작동하는 방법을 설명합니다.
Shield Advanced 정책을 Amazon CloudFront 배포 또는 Application Load Balancer에 적용하는 경우 정책에서 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화를 구성할 수 있습니다.
Shield Advanced 자동 완화에 대한 자세한 내용은 Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화 을 참조하세요.
Shield Advanced 자동 애플리케이션 계층 DDoS 완화에는 다음과 같은 요구 사항이 있습니다.
-
자동 애플리케이션 계층 DDoS 완화는 Amazon CloudFront 배포와 Application Load Balancer에서만 작동합니다.
Shield Advanced 정책을 Amazon CloudFront 배포에 적용하는 경우, 글로벌 리전에 대해 생성하는 Shield Advanced 정책에 대해 이 옵션을 선택할 수 있습니다. Application Load Balancer에 보호를 적용하는 경우 Firewall Manager가 지원하는 모든 리전에 정책을 적용할 수 있습니다.
-
자동 애플리케이션 계층 DDoS 완화는 최신 버전 AWS WAF(v2)를 사용하여 만든 웹 ACL에서만 작동합니다.
따라서 AWS WAF 클래식 웹 ACL을 사용하는 정책이 있는 경우 정책을 새 정책으로 바꾸면 자동으로 최신 버전의 AWS WAF이 사용됩니다. 그렇지 않으면 Firewall Manager에서 기존 정책에 대한 새 버전의 웹 ACL을 만들고 이를 사용하도록 전환하도록 해야 합니다. 이러한 옵션에 대한 자세한 내용은 AWS WAF 클래식 웹 ACL을 최신 버전의 웹 ACL로 교체을 참조하세요.
자동 완화 구성
Firewall Manager Shield Advanced 정책의 자동 애플리케이션 계층 DDoS 완화 옵션은 Shield Advanced 자동 완화 기능을 정책의 범위 내 계정 및 리소스에 적용합니다. 이 Shield Advanced 기능에 대한 자세한 내용은 Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화 을 참조하세요.
Firewall Manager가 정책 범위 내에 있는 CloudFront 배포 또는 Application Load Balancer에 대한 자동 완화 기능을 활성화 또는 비활성화하도록 선택하거나, Shield Advanced 자동 완화 설정을 정책이 무시하도록 선택할 수 있습니다.
-
활성화 - 자동 완화를 활성화하도록 선택한 경우 Shield Advanced 규칙 완화 시 일치하는 웹 요청을 카운트할지 아니면 차단할지 여부도 지정합니다. Firewall Manager는 자동 완화 기능이 활성화되어 있지 않거나 정책에 지정한 것과 일치하지 않는 규칙 동작을 사용하는 경우 범위 내 리소스를 비준수로 표시합니다. 자동 수정을 위한 정책을 구성하면 Firewall Manager는 필요에 따라 비준수 리소스를 업데이트합니다.
-
비활성화 - 자동 완화를 사용하지 않도록 선택하면 Firewall Manager는 범위 내 리소스에 자동 완화 기능이 활성화되어 있는 경우 해당 리소스를 비준수로 표시합니다. 자동 수정을 위한 정책을 구성하면 Firewall Manager는 필요에 따라 비준수 리소스를 업데이트합니다.
-
무시 - 자동 완화를 무시하도록 선택하면 Firewall Manager는 정책에 대한 수정 작업을 수행할 때 Shield 정책의 자동 완화 설정을 고려하지 않습니다. 이 설정을 사용하면 Firewall Manager가 해당 설정을 덮어쓰지 않고도 Shield Advanced를 통해 자동 완화 기능을 제어할 수 있습니다. Shield Advanced를 통해 관리되는 Classic Load Balancer 또는 Elastic IP 리소스에는 이 설정이 적용되지 않습니다. Shield Advanced는 현재 해당 리소스에 대한 L7 자동 완화를 지원하지 않기 때문입니다.
AWS WAF 클래식 웹 ACL을 최신 버전의 웹 ACL로 교체
자동 애플리케이션 계층 DDoS 완화는 최신 버전 AWS WAF(v2)를 사용하여 만든 웹 ACL에서만 작동합니다.
Shield Advanced 정책의 웹 ACL 버전을 확인하려면 Shield Advanced 정책에서 사용하는 AWS WAF 버전 결정을 참조하세요.
Shield Advanced 정책에서 자동 완화 기능을 사용하려고 하며 현재 AWS WAF 클래식 웹 ACL을 사용하고 있는 경우 새 Shield Advanced 정책을 생성하여 현재 정책을 대체하거나 이 섹션에 설명된 옵션을 사용하여 이전 버전의 웹 ACL을 현재 Shield Advanced 정책 내에서 새 (v2) 웹 ACL로 교체할 수 있습니다. 새 정책은 항상 최신 버전의 AWS WAF을 사용하여 웹 ACL을 생성합니다. 전체 정책을 교체하는 경우 정책을 삭제할 때 Firewall Manager에서 이전 버전의 웹 ACL도 모두 삭제하도록 할 수 있습니다. 이 섹션의 나머지 부분에서는 기존 정책 내의 웹 ACL을 교체하기 위한 옵션에 대해 설명합니다.
Amazon CloudFront 리소스에 대한 기존 Shield Advanced 정책을 수정하면 Firewall Manager는 아직 v2 웹 ACL이 없는 범위 내 계정에서 정책에 대한 새로운 빈 AWS WAF (v2) 웹 ACL을 자동으로 생성할 수 있습니다. Firewall Manager가 새 웹 ACL을 생성할 때 정책이 이미 동일한 계정에 AWS WAF 클래식 웹 ACL을 가지고 있는 경우 Firewall Manager는 기존 웹 ACL과 동일한 기본 작업 설정으로 새 버전의 웹 ACL을 구성합니다. 기존 AWS WAF 클래식 웹 ACL이 없는 경우 Firewall Manager는 새 웹 ACL에서 Allow로 기본 동작을 설정합니다. Firewall Manager에서 새 웹 ACL을 생성한 후 AWS WAF 콘솔을 통해 필요에 따라 이를 사용자 지정할 수 있습니다.
다음 정책 구성 옵션 중 하나를 선택하면 Firewall Manager는 아직 해당 옵션이 없는 범위 내 계정에 대해 새 (v2) 웹 ACL을 생성합니다.
-
자동 애플리케이션 계층 DDoS 완화를 활성화 또는 비활성화하는 경우. 이 선택만 해도 Firewall Manager는 새 웹 ACL을 생성할 뿐 정책의 범위 내 리소스에 있는 기존 AWS WAF 클래식 웹 ACL 연결을 대체하지 않습니다.
-
자동 수정이라는 정책 조치를 선택하고 AWS WAF 클래식 웹 ACL을 AWS WAF (v2) 웹 ACL로 대체하는 옵션을 선택하는 경우 자동 애플리케이션 계층 DDoS 완화에 대한 구성 선택 사항과 상관없이 이전 버전의 웹 ACL을 교체하도록 선택할 수 있습니다.
대체 옵션을 선택하면 Firewall Manager는 필요에 따라 새 버전의 웹 ACL을 생성한 다음 정책의 범위 내 리소스에 대해 다음을 수행합니다.
-
리소스가 다른 활성 Firewall Manager 정책의 웹 ACL과 연결된 경우 Firewall Manager는 연결을 그대로 둡니다.
-
다른 경우에는 Firewall Manager가 AWS WAF 클래식 웹 ACL과의 연결을 모두 제거하고 리소스를 정책의 AWS WAF (v2) 웹 ACL과 연결합니다.
-
원하는 경우 Firewall Manager에서 이전 버전의 웹 ACL을 새 버전의 웹 ACL로 교체하도록 선택할 수 있습니다. 이전에 정책의 AWS WAF 클래식 웹 ACL을 사용자 지정한 경우 Firewall Manager에서 대체 단계를 수행하도록 선택하기 전에 새 버전의 웹 ACL을 유사한 설정으로 업데이트할 수 있습니다.
AWS WAF 또는 AWS WAF 클래식에 대해 동일한 버전의 콘솔을 통해 정책에 대한 웹 ACL 버전 중 하나에 액세스할 수 있습니다.
Firewall Manager는 정책 자체를 삭제할 때까지 교체된 AWS WAF 클래식 웹 ACL을 삭제하지 않습니다. 정책에서 AWS WAF 클래식 웹 ACL을 더 이상 사용하지 않으면 원하는 경우 삭제할 수 있습니다.
