애플리케이션 통합 SDK를 ATP와 함께 사용해야 하는 이유

ATP 관리형 규칙 그룹에는 애플리케이션 통합 SDK가 생성하는 챌린지 토큰이 필요합니다. 이러한 토큰을 사용하면 규칙 그룹이 제공하는 모든 보호 기능을 사용할 수 있습니다.

ATP 규칙 그룹을 가장 효율적으로 사용하려면 애플리케이션 통합 SDK를 구현하는 것이 좋습니다. 규칙 그룹이 스크립트에서 획득한 토큰을 활용하도록 하려면 ATP 규칙 그룹보다 먼저 챌린지 스크립트를 실행해야 합니다. 이는 애플리케이션 통합 SDK를 사용하여 자동으로 수행됩니다. 또는 SDK를 사용할 수 없는 경우 ATP 규칙 그룹에서 검사할 모든 요청에 대해 Challenge 또는 CAPTCHA 규칙 작업을 실행하도록 웹 ACL을 구성할 수도 있습니다. Challenge 또는 CAPTCHA 규칙 작업을 사용하는 경우 추가 비용이 발생할 수 있습니다. 요금에 대한 자세한 내용은 AWS WAF Pricing을 참조하세요.

토큰이 필요하지 않은 ATP 규칙 그룹의 기능

웹 요청에 토큰이 없는 경우 ATP 관리형 규칙 그룹은 다음 유형의 트래픽을 차단할 수 있습니다.

• 로그인 요청을 많이 하는 단일 IP 주소.

• 단시간에 실패한 로그인 요청이 많이 발생하는 단일 IP 주소.

• 동일한 사용자 이름을 사용하지만 암호를 변경하며 암호 순회로 로그인을 시도합니다.

토큰이 필요한 ATP 규칙 그룹의 기능

챌린지 토큰에 제공된 정보는 규칙 그룹 및 전체 클라이언트 애플리케이션 보안의 기능을 확장합니다.

토큰은 각 웹 요청과 함께 클라이언트 정보를 제공하여 ATP 규칙 그룹이 정상적인 클라이언트 세션을 잘못된 클라이언트 세션과 분리할 수 있도록 합니다. 둘 다 단일 IP 주소에서 시작된 경우에도 마찬가지입니다. 규칙 그룹은 탐지 및 완화를 세부적으로 조정하기 위해 토큰 정보를 사용하여 클라이언트 세션 요청 동작을 집계합니다.

웹 요청에서 토큰을 사용할 수 있는 경우 ATP 규칙 그룹은 세션 수준에서 다음과 같은 추가 범주의 클라이언트를 탐지하고 차단할 수 있습니다.

• SDK가 관리하는 자동 챌린지에 실패한 클라이언트 세션

• 사용자 이름 또는 암호를 순회하는 클라이언트 세션. 이를 보안 인증 정보 스터핑이라고도 합니다.

• 도용된 보안 인증 정보를 반복적으로 사용하여 로그인하는 클라이언트 세션

• 로그인을 시도하는 데 오랜 시간이 걸리는 클라이언트 세션.

• 로그인 요청이 많은 클라이언트 세션 ATP 규칙 그룹은 IP 주소를 기준으로 클라이언트를 차단할 수 있는 AWS WAF 속도 기반 규칙보다 더 나은 클라이언트 격리를 제공합니다. 또한 ATP 규칙 그룹은 더 낮은 임계값을 사용합니다.

• 짧은 시간 내에 실패 로그인 요청이 많은 클라이언트 세션 이 기능은 보호된 Amazon CloudFront 배포에 사용할 수 있습니다.

규칙 그룹 기능에 대한 자세한 내용은 AWS WAF 사기 방지 계정 탈취 방지 (ATP) 규칙 그룹 섹션을 참조하세요.

SDK에 대한 자세한 내용은 AWS WAF 클라이언트 애플리케이션 통합 섹션을 참조하세요. AWS WAF 토큰에 대한 자세한 내용은 을 참조하십시오AWS WAF 웹 요청 토큰. 규칙 작업에 대한 자세한 내용은 CAPTCHA그리고 Challenge 안에 AWS WAF 섹션을 참조하세요.