AWS WAF 보호 모니터링 및 튜닝 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS WAF 보호 모니터링 및 튜닝

이 섹션에서는 AWS WAF 보호를 모니터링하고 조정하는 방법을 설명합니다.

참고

이 섹션의 지침을 따르려면 일반적으로 웹 ACLs, 규칙 및 규칙 그룹과 같은 AWS WAF 보호를 생성하고 관리하는 방법을 이해해야 합니다. 이 정보는 이 가이드의 이전 섹션에 설명되어 있습니다.

웹 트래픽과 규칙 일치를 모니터링하여 웹 ACL의 동작을 확인합니다. 문제가 발견되면 규칙을 조정하여 수정하고 나서 모니터링하여 조정 사항을 확인합니다.

웹 ACL이 필요에 맞게 웹 트래픽을 관리할 때까지 다음 절차를 반복합니다.

모니터링하고 조정하려면
  1. 트래픽과 규칙 일치 모니터링

    트래픽 흐름이 존재하고 테스트 규칙에서 일치하는 요청을 찾고 있는지 확인합니다.

    테스트 중인 보호 기능에 대한 다음 정보를 찾아 봅니다.

    • 로그 - 웹 요청과 일치하는 규칙에 대한 정보에 액세스합니다.

      • 규칙 - 웹 ACL에서 Count 작업이 있는 규칙이 nonTerminatingMatchingRules 아래에 나열됩니다. Allow 또는 Block을 포함하는 규칙은 terminatingRule로 나열됩니다. CAPTCHA 또는 Challenge를 포함하는 규칙은 종료형 또는 비 종료형일 수 있으므로 규칙 일치 결과에 따라 두 범주 중 하나에 나열됩니다.

      • 규칙 그룹 - 규칙 그룹은 ruleGroupId 필드에서 식별되며, 해당 규칙 일치 항목은 독립형 규칙과 동일하게 분류됩니다.

      • 레이블 - 규칙이 요청에 적용한 레이블이 Labels 필드에 나열됩니다.

      자세한 내용은 웹 ACL 트래픽에 대한 로그 필드 단원을 참조하십시오.

    • Amazon CloudWatch 지표 - 다음의 웹 ACL 요청 평가에 대한 지표에 액세스할 수 있습니다.

      • 규칙 - 지표는 규칙 작업별로 그룹화됩니다. 예를 들어 Count 모드에서 규칙을 테스트하는 경우 일치하는 규칙이 웹 ACL의 Count 지표로 나열됩니다.

      • 규칙 그룹 - 규칙 그룹에 대한 지표는 규칙 그룹 지표 아래에 나열됩니다.

      • 다른 계정이 소유한 규칙 그룹 - 규칙 그룹 지표는 일반적으로 규칙 그룹 소유자에게만 표시됩니다. 하지만 규칙에 대한 규칙 작업을 재정의하면 해당 규칙에 대한 지표가 웹 ACL 지표 아래에 나열됩니다. 또한 규칙 그룹에서 추가한 레이블은 웹 ACL 지표에 나열됩니다.

        이 범주의 규칙 그룹은 다른 계정에서 사용자와 공유하는 AWS 에 대한 관리형 규칙 AWS WAF, AWS Marketplace 관리형 규칙 그룹, 다른 서비스에서 제공하는 규칙 그룹 인지 및 규칙 그룹입니다.

      • 레이블 - 평가 중에 웹 요청에 추가된 레이블은 웹 ACL 레이블 지표에 나열됩니다. 자체 규칙 및 규칙 그룹에 의해 추가되었든 다른 계정 소유의 규칙 그룹에 있는 규칙에 의해 추가되었든 관계없이 모든 레이블의 지표에 액세스할 수 있습니다.

      자세한 내용은 웹 ACL 지표 보기 단원을 참조하십시오.

    • 웹 ACL 트래픽 개요 대시보드 - AWS WAF 콘솔의 웹 ACL 페이지로 이동하여 트래픽 개요 탭을 열어 웹 ACL이 평가한 웹 트래픽에 대한 요약에 액세스합니다.

      트래픽 개요 대시보드는 애플리케이션 웹 트래픽을 평가할 때가 AWS WAF 수집하는 Amazon CloudWatch 지표에 대한 실시간에 가까운 요약을 제공합니다.

      자세한 내용은 웹 ACL 트래픽 개요 대시보드 단원을 참조하십시오.

    • 샘플링된 웹 요청 - 웹 요청 샘플과 일치하는 규칙에 대한 액세스 정보입니다. 샘플 정보는 웹 ACL의 규칙에 대한 지표 이름으로 일치 규칙을 식별합니다. 규칙 그룹의 경우 지표는 규칙 그룹 참조 문을 식별합니다. 규칙 그룹 내 규칙의 경우 샘플에는 RuleWithinRuleGroup의 일치하는 규칙 이름이 나열됩니다.

      자세한 내용은 웹 요청 샘플 보기 단원을 참조하십시오.

  2. 거짓 긍정을 해결하기 위한 완화 조치 구성

    규칙이 일치되어서는 안 되는 웹 요청과 일치되어 거짓 긍정이 발생하고 있다고 판단되는 경우, 다음 옵션을 통해 웹 ACL 보호를 조정하여 이 문제를 완화할 수 있습니다.

    규칙 검사 기준 수정

    자체 규칙의 경우 대체로 웹 요청을 검사하는 데 사용하는 설정을 조정하기만 하면 됩니다. 예로는 정규식 패턴 집합의 사양을 변경하거나, 검사 전에 요청 구성 요소에 적용하는 텍스트 변환을 조정하거나, 전달된 IP 주소를 사용하도록 전환하는 것 등이 있습니다. 문제를 일으키는 규칙 유형에 대한 지침은 에서 규칙 문 사용 AWS WAF 섹션을 참조하세요.

    더 복잡한 문제 해결

    제어할 수 없는 검사 기준과 일부 복잡한 규칙의 경우 요청을 명시적으로 허용 또는 차단하거나 문제가 되는 규칙에 의한 평가에서 요청을 제외하는 규칙을 추가하는 등 기타 변경을 수행해야 할 수 있습니다. 관리형 규칙 그룹에는 대체로 이러한 유형의 완화가 필요하지만 다른 규칙에도 필요할 수 있습니다. 속도 기반 규칙 문 및 SQL 명령어 삽입 공격 규칙 문을 예로 들 수 있습니다.

    거짓 긍정을 줄이기 위해 수행하는 작업은 사용 사례에 따라 다릅니다. 다음은 일반적인 접근 방식입니다.

    • 완화 규칙 추가 - 새 규칙보다 먼저 실행되고 거짓 긍정을 유발하는 요청을 명시적으로 허용하는 규칙을 추가합니다. 웹 ACL의 규칙 평가 순서에 대한 자세한 내용은 웹 ACL에서 규칙 우선 순위 설정 섹션을 참조하세요.

      이 방법을 사용하면 허용된 요청이 보호된 리소스로 전송되므로 새 평가 규칙에 도달하지 않습니다. 새 규칙이 유료 관리형 규칙 그룹인 경우 이 방법은 규칙 그룹의 사용 비용을 억제하는 데도 도움이 될 수 있습니다.

    • 완화 규칙을 포함하는 논리적 규칙 추가 - 논리적 규칙 문을 사용하여 거짓 긍정을 배제하는 규칙과 새 규칙을 결합할 수 있습니다. 자세한 내용은 에서 논리적 규칙 문 사용 AWS WAF을 참조하세요.

      예를 들어 요청 범주에 대해 거짓 긍정을 생성하는 SQL 명령어 삽입 공격 일치 문을 추가한다고 가정해 보겠습니다. 이러한 요청과 일치하는 규칙을 만든 다음 논리적 규칙 문을 사용하는 규칙을 결합하면 둘 다 거짓 긍정 기준과 일치하지 않고 SQL 명령어 삽입 공격 기준과 일치하는 요청만 일치하게 됩니다.

    • 범위 축소 문 추가 - 속도 기반 문 및 관리형 규칙 그룹 참조 문의 경우 주 명령문 안에 범위 축소 문을 추가하여 거짓 긍정이 발생하는 요청을 평가 대상에서 제외합니다.

      범위 축소 문과 일치하지 않는 요청은 규칙 그룹 또는 속도 기반 평가에 절대 도달하지 않습니다. 범위 축소 문에 대한 자세한 내용은 에서 범위 축소 문 사용 AWS WAF 섹션을 참조하세요. 예시는 봇 관리에서 IP 범위 제외에서 확인하십시오.

    • 레이블 일치 규칙 추가 - 레이블 지정을 사용하는 규칙 그룹의 경우 문제가 되는 규칙이 요청에 적용하는 레이블을 식별합니다. 규칙 그룹 규칙을 계산 모드에서 설정해야 할 수도 있습니다(아직 설정하지 않은 경우). 문제가 되는 규칙에 의해 추가되는 레이블과 일치하며 규칙 그룹 다음에 실행되도록 배치된 레이블 일치 규칙을 추가합니다. 레이블 일치 규칙에서 허용하려는 요청과 차단하려는 요청을 필터링할 수 있습니다.

      이 방법을 사용하는 경우 테스트를 마쳤을 때 문제가 되는 규칙을 규칙 그룹에서 계산 모드로 유지하고 사용자 지정 레이블 일치 규칙을 그대로 유지합니다. 레이블 일치 문에 대한 자세한 내용은 레이블 일치 규칙 문 섹션을 참조하세요. 예제는 차단된 특정 봇 허용ATP 예제: 분실 및 손상된 보안 인증 정보에 대한 사용자 지정 처리 단원을 참조하세요.

    • 관리형 규칙 그룹 버전 변경 - 버전이 지정된 관리형 규칙 그룹의 경우 사용 중인 버전을 변경합니다. 예를 들어, 성공적으로 사용하고 있던 마지막 정적 버전으로 다시 전환할 수 있습니다.

      이는 일반적으로 임시 해결책입니다. 테스트 또는 스테이징 환경에서 최신 버전을 계속 테스트하거나 공급자로부터 호환성이 더 좋은 버전을 기다리는 동안 프로덕션 트래픽의 버전을 변경할 수 있습니다. 관리형 규칙 그룹에 대한 자세한 내용은 에서 관리형 규칙 그룹 사용 AWS WAF 섹션을 참조하세요.

새 규칙이 필요한 요청과 일치하는 것으로 확인되면 테스트의 다음 단계로 이동하여 이 절차를 반복합니다. 프로덕션 환경에서 테스트 및 조정의 마지막 단계를 수행하십시오.