지능형 위협 완화 모범 사례 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

지능형 위협 완화 모범 사례

이 섹션의 모범 사례를 따르면 지능형 위협 완화 기능을 가장 효율적이고 비용 효율적으로 구현할 수 있습니다.

  • JavaScript 및 모바일 애플리케이션 통합 SDK 구현 — ACFP, ATP 또는 Bot Control 기능의 전체 세트를 최대한 효과적인 방법으로 사용할 수 있도록 애플리케이션 통합을 구현합니다. 관리형 규칙 그룹은 SDK에서 제공하는 토큰을 사용하여 세션 수준에서 합법적인 클라이언트 트래픽을 바람직하지 않은 트래픽과 분리합니다. 애플리케이션 통합 SDK에서는 이러한 토큰을 항상 사용할 수 있습니다. 세부 정보는 다음을 참조하세요.

    통합을 사용하여 클라이언트에서 문제를 구현하고 최종 사용자에게 JavaScript CAPTCHA 퍼즐이 제공되는 방식을 사용자 지정하십시오. 자세한 설명은 AWS WAF 클라이언트 애플리케이션 통합 섹션을 참조하십시오.

    JavaScript API를 사용하여 CAPTCHA 퍼즐을 사용자 지정하고 웹 ACL의 어느 곳에서나 CAPTCHA 규칙 액션을 사용하는 경우 에서 클라이언트의 CAPTCHA 응답 처리 지침을 따르십시오. AWS WAF 에서 캡차 응답 처리하기 AWS WAF 이 지침은 ACFP 관리형 규칙 그룹의 규칙과 Bot Control 관리형 규칙 그룹의 대상 보호 수준을 포함하여 CAPTCHA 작업을 사용하는 모든 규칙에 적용됩니다.

  • ACFP, ATP 및 봇 제어 규칙 그룹으로 보내는 요청을 제한하십시오. — 지능형 위협 완화 관리 규칙 그룹 사용 시 추가 요금이 발생합니다. AWS ACFP 규칙 그룹은 사용자가 지정한 계정 등록 및 생성 엔드포인트에 대한 요청을 검사합니다. ATP 규칙 그룹은 사용자가 지정한 로그인 엔드포인트에 대한 요청을 검사합니다. Bot Control 규칙 그룹은 웹 ACL 평가에서 로그인 엔드포인트에 도달한 모든 요청을 검사합니다.

    이러한 규칙 그룹의 사용을 줄이려면 다음과 같은 방법을 고려하십시오.

    • 관리형 규칙 그룹 문에서 범위 축소 문을 사용하여 검사에서 요청을 제외하십시오. 모든 중첩 가능한 명령문을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 범위 축소 문을 참조하세요.

    • 규칙 그룹 앞에 규칙을 추가하여 검사에서 요청을 제외시킵니다. 범위 축소 문에 사용할 수 없는 규칙의 경우, 그리고 레이블 지정 후 레이블 일치와 같은 좀 더 복잡한 상황의 경우 규칙 그룹보다 먼저 실행되는 규칙을 추가할 수 있습니다. 자세한 내용은 범위 축소 문규칙 문 기본 사항 섹션을 참조하세요.

    • 비용이 더 저렴한 규칙 이후에 규칙 그룹을 실행합니다. 어떤 이유로든 요청을 차단하는 다른 표준 AWS WAF 규칙이 있는 경우 이러한 유료 규칙 그룹보다 먼저 실행하십시오. 규칙 및 규칙 관리에 대한 자세한 내용은 규칙 문 기본 사항 섹션을 참조하세요.

    • 지능형 위협 완화 관리형 규칙 그룹을 두 개 이상 사용하는 경우 비용을 낮추려면 Bot Control, ATP, ACFP 순으로 실행합니다.

    자세한 요금 정보는 AWS WAF 요금을 참조하세요.

  • 정상적인 웹 트래픽 중 Bot Control 규칙 그룹의 표적 보호 수준 활성화 — 대상 보호 수준의 일부 규칙은 불규칙하거나 악의적인 트래픽 패턴을 인식하고 이에 대응하기 전에 정상적인 트래픽 패턴의 기준을 설정하는 데 시간이 필요합니다. 예를 들어, TGT_ML_* 규칙을 워밍업하려면 최대 24시간이 필요합니다.

    공격이 발생하지 않을 때 이러한 보호 기능을 추가하고 공격에 적절하게 대응할 것으로 예상하기 전에 보호의 기준이 설정될 때까지 기다립니다. 공격 중에 이러한 규칙을 추가하면 공격이 진정된 후 공격 트래픽으로 인한 왜곡이 가중되므로 일반적으로 기준선을 설정하는 데 정상 소요 시간의 2배~3배가 걸리게 됩니다. 규칙 및 규칙에 필요한 준비 시간에 대한 자세한 내용은 규칙 목록 섹션을 참조하세요.

  • 분산 서비스 거부 (DDoS) 방어의 경우 Shield Advanced 자동 애플리케이션 계층 DDoS 완화 사용 - 지능형 위협 완화 규칙 그룹은 DDoS 보호를 제공하지 않습니다. ACFP는 애플리케이션 가입 페이지에 대한 사기 계정 생성 시도로부터 보호합니다. ATP는 로그인 페이지에 대한 계정 탈취 시도로부터 보호합니다. Bot Control은 토큰을 사용하여 사람과 유사한 액세스 패턴을 적용하고 클라이언트 세션에 동적 속도 제한을 적용하는 데 중점을 둡니다.

    자동 애플리케이션 레이어 DDoS 완화가 활성화된 상태에서 Shield Advanced를 사용하면 Shield Advanced는 사용자 대신 사용자 지정 AWS WAF 완화 기능을 생성, 평가 및 배포하여 탐지된 DDoS 공격에 자동으로 대응합니다. Shield Advanced에 대한 자세한 내용은 AWS Shield Advanced 개요AWS Shield Advanced 애플리케이션 계층 (계층 7) 보호 섹션을 참조하세요.

  • 토큰 처리 조정 및 구성 - 최상의 사용자 환경을 제공할 수 있도록 웹 ACL의 토큰 처리를 조정합니다.

    • 운영 비용을 줄이고 최종 사용자 환경을 개선하려면 토큰 관리 면제 시간을 보안 요구 사항이 허용하는 최장 시간으로 조정합니다. 이를 통해 CAPTCHA 퍼즐과 자동 챌린지 사용을 최소화할 수 있습니다. 자세한 내용은 타임스탬프 만료: AWS WAF 토큰 면역 시간을 참조하세요.

    • 보호된 애플리케이션 간에 토큰을 공유할 수 있도록 하려면 웹 ACL의 토큰 도메인 목록을 구성하십시오. 자세한 내용은 AWS WAF 토큰 도메인 및 도메인 목록을 참조하세요.

  • 임의 호스트 사양을 포함하는 요청 거부 - 웹 요청의 Host 헤더와 대상 리소스 간 일치가 필수 조건이 되도록 보호된 리소스를 구성하십시오. 단일 값 또는 특정 값 집합(예: myExampleHost.com 및) 는 허용할 수 있지만 www.myExampleHost.com 호스트에 대해 임의의 값은 수락하지 마십시오.

  • CloudFront 배포용 오리진인 애플리케이션 로드 밸런서의 경우 적절한 토큰 처리를 CloudFront 구성하고 AWS WAF 적용하십시오. - 웹 ACL을 Application Load Balancer에 연결하고 Application Load Balancer를 배포의 오리진으로 배포하는 경우에는 을 참조하십시오. CloudFront 오리진인 애플리케이션 로드 밸런서에 필요한 구성 CloudFront

  • 배포 전 테스트 및 조정 - 웹 ACL에 변경 사항을 구현하기 전에 이 안내서의 테스트 및 조정 절차에 따라 예상대로 작동하는지 확인하십시오. 이 점은 이러한 유료 기능의 경우 특히 중요합니다. 일반적인 지침은 AWS WAF 보호 기능 테스트 및 조정 섹션을 참조하세요. 유료 관리형 규칙 그룹과 관련된 자세한 내용은 ACFP 테스트 및 배포, ATP 테스트 및 배포AWS WAF 봇 컨트롤 테스트 및 배포 섹션을 참조하세요.