Anti-DDoS 테스트 및 배포 - AWS WAF, AWS Firewall ManagerAWS Shield Advanced및 AWS Shield 네트워크 보안 디렉터

에 대한 새로운 콘솔 환경 소개 AWS WAF

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Anti-DDoS 테스트 및 배포

기능을 배포하기 전에 AWS WAF 분산 서비스 거부(DDoS) 방지를 구성하고 테스트해야 합니다. 이 섹션에서는 구성 및 테스트에 대한 일반적인 지침을 제공하지만 따르기로 선택한 특정 단계는 수신하는 요구 사항, 리소스 및 웹 요청에 따라 달라집니다.

이 정보는 AWS WAF 보호 기능 테스트 및 튜닝에 제공된 테스트 및 조정에 대한 일반 정보 외의 정보입니다.

참고

AWS 관리형 규칙은 일반적인 웹 위협으로부터 사용자를 보호하도록 설계되었습니다. 설명서에 따라 사용하는 경우 AWS 관리형 규칙 규칙 그룹은 애플리케이션에 또 다른 보안 계층을 추가합니다. 그러나 AWS 관리형 규칙 규칙 그룹은 보안 책임을 대체하기 위한 것이 아니며, 이는 선택한 AWS 리소스에 따라 결정됩니다. 의 리소스가 AWS 적절하게 보호되는지 확인하려면 공동 책임 모델을 참조하세요.

프로덕션 트래픽 위험

트래픽에 미치는 잠재적 영향에 익숙해질 때까지 스테이징 또는 테스트 환경에서 안티 DDoS 구현을 테스트하고 조정합니다. 그런 다음 프로덕션 트래픽을 사용하여 규칙을 개수 모드에서 테스트하고 조정한 다음 활성화합니다.

이 지침은 일반적으로 AWS WAF 보호 팩(웹 ACLs), 규칙 및 규칙 그룹을 생성하고 관리하는 방법을 알고 있는 사용자를 대상으로 합니다. 이러한 주제는 이 안내서의 이전 섹션에 설명되어 있습니다.

AWS WAF 분산 서비스 거부(DDoS) 방지 구현을 구성하고 테스트하려면

이러한 단계를 먼저 테스트 환경에서 수행한 다음, 프로덕션 환경에서 수행합니다.

  1. 개수 모드에서 AWS WAF 분산 서비스 거부(DDoS) 방지 관리형 규칙 그룹 추가
    참고

    이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF 요금을 참조하세요.

    새 보호 팩 또는 기존 보호 팩(웹 ACL)AWSManagedRulesAntiDDoSRuleSet에 AWS 관리형 규칙 그룹을 추가하고 현재 보호 팩(웹 ACL) 동작을 변경하지 않도록 구성합니다. 이 규칙 그룹의 규칙 및 레이블에 대한 자세한 내용은 AWS WAF 분산 서비스 거부(DDoS) 방지 규칙 그룹 섹션을 참조하세요.

    • 관리형 규칙 그룹을 추가할 때는 해당 규칙 그룹을 편집하고 다음을 수행합니다.

      • 규칙 그룹 구성 창에서 웹 트래픽에 대한 DDoS 방지 활동을 수행하는 데 필요한 세부 정보를 제공합니다. 자세한 내용은 보호 팩에 Anti-DDoS 관리형 규칙 그룹 추가(웹 ACL) 단원을 참조하십시오.

      • 규칙 창에서 모든 규칙 모든 규칙 작업 재정의 드롭다운을 열고 Count를 선택합니다. 이 구성을 사용하면 AWS WAF 는 요청에 레이블을 여전히 추가하면서 규칙 그룹의 모든 규칙과 비교하여 요청을 평가한 후 일치하는 항목 수만 계산합니다. 자세한 내용은 규칙 그룹에 대한 규칙 작업 재정의 단원을 참조하십시오.

        이 재정의를 사용하면 DDoS 방지 관리형 규칙의 잠재적 영향을 모니터링하여 자동 브라우저 문제를 처리할 수 없는 URIs의 정규식을 확장하는 등 수정할지 여부를 결정할 수 있습니다.

    • 트래픽을 허용하는 규칙 직후 가능한 한 빨리 평가되도록 규칙 그룹을 배치합니다. 규칙은 오름차순 숫자 우선 순위로 평가됩니다. 콘솔은 규칙 목록 맨 위에서 시작하여 순서를 설정합니다. 자세한 내용은 규칙 우선 순위 설정 단원을 참조하십시오.

  2. 보호 팩에 대한 로깅 및 지표 활성화(웹 ACL)

    필요에 따라 로깅, Amazon Security Lake 데이터 수집, 요청 샘플링 및 보호 팩(웹 ACL)에 대한 Amazon CloudWatch 지표를 구성합니다. 이러한 가시성 도구를 사용하여 Anti-DDoS 관리형 규칙 그룹과 트래픽의 상호 작용을 모니터링할 수 있습니다.

  3. 보호 팩(웹 ACL)을 리소스와 연결

    보호 팩(웹 ACL)이 아직 테스트 리소스와 연결되어 있지 않은 경우 연결합니다. 자세한 내용은 보호와 AWS 리소스의 연결 또는 연결 해제 단원을 참조하세요.

  4. 트래픽 및 DDoS 방지 규칙 일치 모니터링

    일반 트래픽이 흐르고 있고 안티 DDoS 관리형 규칙 그룹 규칙이 일치하는 웹 요청에 레이블을 추가하고 있는지 확인합니다. 로그에서 레이블을 확인하고 Amazon CloudWatch 지표에서 Anti-DDoS 및 레이블 지표를 볼 수 있습니다. 로그에서 규칙 그룹에서 개수하도록 재정의한 규칙은 계수로 설정된 action과 재정의한 구성된 규칙 작업을 나타내는 overriddenAction을 포함하는 ruleGroupList로 표시됩니다.

  5. DDoS 웹 요청 처리 사용자 지정

    필요에 따라 요청을 명시적으로 허용하거나 차단하는 자체 규칙을 추가하여 DDoS 방지 규칙이 요청을 처리하는 방식을 변경합니다.

    예를 들어, DDoS 방지 레이블을 사용하여 요청을 허용 또는 차단하거나 요청 처리를 사용자 지정할 수 있습니다. DDoS 방지 관리형 규칙 그룹 뒤에 레이블 일치 규칙을 추가하여 적용하려는 처리에 대해 레이블이 지정된 요청을 필터링할 수 있습니다. 테스트 후 관련 Anti-DDoS 규칙을 카운트 모드로 유지하고 사용자 지정 규칙에서 요청 처리 결정을 유지합니다.

  6. 테스트 규칙 제거 및 DDoS 방지 설정 구성

    테스트 결과를 검토하여 모니터링에 대해서만 카운트 모드로 유지할 Anti-DDoS 규칙을 결정합니다. 활성 보호로 실행하려는 규칙의 경우 보호 팩(웹 ACL) 규칙 그룹 구성에서 개수 모드를 비활성화하여 구성된 작업을 수행할 수 있도록 합니다. 이러한 설정을 완료했으면 프로덕션용으로 생성한 사용자 지정 규칙을 유지하면서 임시 테스트 레이블 일치 규칙을 모두 제거합니다. 추가 DDoS 방지 구성 고려 사항은 섹션을 참조하세요의 지능형 위협 완화 모범 사례 AWS WAF.

  7. 모니터링 및 조정

    웹 요청이 원하는 대로 처리되고 있는지 확인하려면 사용하려는 DDoS 방지 기능을 활성화한 후 트래픽을 면밀히 모니터링하세요. 규칙 그룹의 규칙 수 재정의 및 자체 규칙을 사용하여 필요에 따라 동작을 조정합니다.