AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 가이드 (API 버전 2015-08-24)

DDoS 인시던트 검토

AWS Shield Advanced는 AWS 리소스에서 공격에 대한 광범위한 가시성을 제공하는 실시간 지표와 보고서를 제공합니다.

이러한 지표와 보고서는 AWS Shield Advanced 고객에게만 제공됩니다. AWS Shield Advanced를 활성화하려면 AWS Shield Advanced를 활성화하려면 단원을 참조하십시오.

다음 사항을 비롯하여 거의 실시간 지표를 볼 수 있습니다.

  • 공격 유형

  • 시작 시간

  • 기간

  • 차단된 초당 패킷 수

  • HTTP 요청 샘플

세부 정보는 지난 12개월 동안 발생한 활성 및 지난 인시던트에 대해 사용할 수 있습니다.

Shield Advanced 보고서 세부 정보

또한 AWS Shield Advanced는 공격 시의 전체 트래픽에 대한 통찰력을 제공합니다. 다음의 최상위 항목에 대한 세부 정보를 검토할 수 있습니다.

  • IP

  • URL

  • 참조자

  • ASN

  • 국가

  • 사용자 에이전트

이 정보를 사용하여 이후 공격을 방지하는 데 도움이 되는 AWS WAF 규칙을 생성합니다. 예를 들어, 일반적으로 비즈니스를 수행하지 않는 국가에서 오는 요청이 많은 경우 해당 국가의 요청을 차단하는 AWS WAF 규칙을 생성할 수 있습니다.

참고

항상 처음에는 Block 대신 Count를 사용하여 먼저 규칙을 테스트해야 합니다. 새 규칙에서 올바른 요청을 식별한다고 확신하면 해당 요청을 차단하도록 규칙을 수정할 수 있습니다.

DDoS 인시던트를 검토하려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/waf/에서 AWS WAF 콘솔을 엽니다.

  2. [Incidents]를 선택합니다.

  3. 조사할 공격의 [Incident type]을 선택합니다.

가능한 공격이 진행 중인 것으로 확인되면 AWS Support Center를 통해 DRT에 문의하거나 새로운 웹 ACL(웹 액세스 제어 목록)을 생성하여 공격을 직접 완화하려고 시도할 수 있습니다.

잠재적 DDoS 공격을 완화하려면

  1. AWS WAF에서 비정상적인 동작과 일치하는 조건을 생성합니다.

  2. 하나 이상의 AWS WAF 규칙에 조건을 추가합니다.

  3. 해당 규칙을 웹 ACL에 추가하고 규칙과 일치하는 요청을 계산하도록 웹 ACL을 구성합니다.

  4. 계산한 수를 모니터링하여 요청의 소스를 차단해야 할지 여부를 결정합니다. 요청 볼륨이 계속해서 비정상적으로 높으면 해당 요청을 차단하도록 웹 ACL을 변경합니다.

    자세한 정보는 웹 ACL 생성 단원을 참조하십시오.

AWS는 빠르게 시작할 수 있는 사전 구성된 템플릿을 제공합니다. 템플릿에는 일반적인 웹 기반 공격을 차단하기 위해 설계된 AWS WAF 규칙 세트가 포함되어 있습니다. 이러한 규칙을 필요에 맞게 사용자 지정할 수 있습니다. 자세한 내용은 AWS WAF 보안 자동화 단원을 참조하십시오.

AWS에 대한 위협 모니터링

Shield Advanced 고객인 경우 고유한 리소스의 공격에 대해 Incidents(사고) 페이지에 제공된 정보 이외에 글로벌 위협 환경 대시보드도 사용하여 Amazon CloudFront, Elastic Load Balancing 및 Route 53의 DDoS 위협 환경에 대한 트렌드 및 지표를 볼 수 있습니다.

글로벌 위협 환경 대시보드에는 대규모 공격, 최상위 공격 벡터, 중요한 공격의 상대적인 수치 등 글로벌 AWS 위협 환경에 대한 거의 실시간 요약이 나와 있습니다. 중요한 DDoS 공격 기록을 보기 위해 여러 기간에 대한 대시보드 보기를 사용자 지정할 수 있습니다.

글로벌 위협 환경 대시보드를 보려면

  1. AWS Management Console에 로그인한 후 https://console.aws.amazon.com/waf/에서 AWS WAF 콘솔을 엽니다.

  2. [Global threat environment]를 선택합니다.

  3. 기간을 선택합니다.

글로벌 위협 환경 대시보드의 정보를 사용하여 위협 환경을 잘 이해하고 AWS 리소스에 대한 보호를 향상하도록 결정할 수 있습니다.