AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 가이드 (API 버전 2015-08-24)

추가 모범 사례

이제 DDoS 공격으로부터 웹 사이트를 보호하기 위한 몇 가지 구성 요소가 마련되었습니다. 그러나 할 수 있는 일이 더 있습니다. 다음은 고려해야 하는 몇 가지 모범 사례입니다. 이 자습서에서는 모범 사례의 구현 관련 세부 정보를 다루지 않지만, 관련 설명서 링크를 제공합니다.

AWS 리소스 가리기

많은 웹 사이트 애플리케이션의 경우 AWS 리소스를 인터넷에 전부 노출할 필요가 없습니다. 예를 들어 탄력적 로드 밸런서(ELB) 뒤의 Amazon EC2 인스턴스에 공개적으로 액세스하도록 할 필요가 없을 수 있습니다. 이 시나리오에서는 사용자가 특정 TCP 포트의 ELB에 액세스하도록 허용하거나, ELB만 Amazon EC2 인스턴스와 통신하도록 허용할 수 있습니다. 이를 수행하려면 Amazon Virtual Private Cloud(VPC) 내에 보안 그룹 및 네트워크 액세스 제어 목록(ACL)을 구성하면 됩니다. Amazon VPC는 고객이 정의하는 가상 네트워크에서 리소스를 시작할 수 있도록 클라우드에서 논리적이고도 격리된 공간을 프로비저닝합니다.

보안 그룹과 네트워크 ACL은 사용자가 내의 리소스에 대한 액세스를 제어할 수 있다는 점에서 유사합니다. 보안 그룹에서는 인바운드 및 아웃바운드 트래픽을 인스턴스 수준에서 제어할 수 있습니다. 네트워크 ACL도 비슷한 기능을 제공하지만 VPC 서브넷 수준에서 제어한다는 점이 다릅니다. 또한 Amazon EC2 보안 그룹 규칙 또는 네트워크 ACL의 인바운드 데이터 전송에는 요금이 부과되지 않습니다. 따라서 보안 그룹 또는 네트워크 ACL에 의해 끊어지는 트래픽에 대해 추가 요금이 발생하지 않습니다.

보안 그룹 사용

Amazon EC2 인스턴스를 시작하거나 나중에 인스턴스를 보안 그룹에 연결할 때 보안 그룹을 지정할 수 있습니다. 트래픽을 허용하는 Allow 규칙을 만들지 않는 한 인터넷에서 보안 그룹으로 오는 모든 트래픽은 암시적으로 거부됩니다. 예를 들어 이 자습서에서 ELB 한 개와 Amazon EC2 인스턴스 두 개로 구성된 솔루션을 만들었습니다. ELB에 대해 보안 그룹 하나("ELB 보안 그룹")와 인스턴스에 대해 보안 그룹 하나("웹 애플리케이션 서버 보안 그룹")를 만들어야 합니다. 그런 다음 인터넷에서 ELB 보안 그룹으로 오는 트래픽을 허용하고, ELB 보안 그룹에서 웹 애플리케이션 서버 보안 그룹으로 오는 트래픽을 허용하는 Allow 규칙을 만들 수 있습니다. 따라서 인터넷에서 오는 트래픽은 Amazon EC2 인스턴스와 직접 통신할 수 없습니다. 그 결과 공격자가 웹 사이트의 설계와 구조에 대해 알기 더 어렵게 됩니다.

네트워크 액세스 제어 목록(ACL)

네트워크 ACL을 통해 AllowDeny 규칙을 모두 지정할 수 있습니다. 이는 웹 사이트에 특정 유형의 트래픽을 명시적으로 거부하려는 경우에 유용합니다. 예를 들어 전체 서브넷에 대해 거부해야 하는 IP 주소(CIDR 범위로), 프로토콜, 대상 포트를 정의할 수 있습니다. 웹 사이트가 TCP 트래픽에만 사용되는 경우, 모든 UDP 트래픽을 거부하는 규칙 또는 그 반대의 규칙을 만들 수 있습니다. 원본 IP 주소 또는 기타 서명을 아는 경우 이 도구를 통해 공격을 완화하기 위한 자체 규칙을 생성할 수 있으므로 DDoS 공격에 대응할 때 유용합니다. AWS WAF ACL과 함께 네트워크 ACL을 사용할 수 있습니다.

오리진 보호

사용자가 를 우회하여 오리진에서 직접 콘텐츠를 요청하지 않도록 를 구성해야 합니다. 이를 통해 오리진의 보안을 강화할 수 있습니다. 자세히 알아보려면 사용자 지정 헤더를 사용하여 사용자 지정 오리진에서 콘텐츠에 대한 액세스 제한을 참조하십시오.

결론

이 자습서에서 간략하게 소개한 모범 사례를 통해 일반적인 여러 인프라 및 애플리케이션 계층 DDoS 공격으로부터 웹 사이트의 가용성을 보호할 수 있는 DDoS에 복원력 있는 아키텍처를 구축할 수 있습니다. 이러한 모범 사례에 따라 애플리케이션을 설계할 수 있는 정도가 완화할 수 있는 DDoS 공격의 유형과 규모를 좌우합니다.

자세한 내용은 다음 단원을 참조하세요.