기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
모니터링 및 조정
이 섹션에서는 AWS WAF 보호 기능을 모니터링하고 조정하는 방법을 설명합니다.
참고
이 섹션의 지침을 따르려면 웹 ACL, 규칙, 규칙 그룹과 같은 AWS WAF 보호를 생성하고 관리하는 방법을 일반적으로 이해해야 합니다. 이 정보는 이 가이드의 이전 섹션에 설명되어 있습니다.
웹 트래픽과 규칙 일치를 모니터링하여 웹 ACL의 동작을 확인합니다. 문제가 발견되면 규칙을 조정하여 수정하고 나서 모니터링하여 조정 사항을 확인합니다.
웹 ACL이 필요에 맞게 웹 트래픽을 관리할 때까지 다음 절차를 반복합니다.
모니터링하고 조정하려면
트래픽과 규칙 일치 모니터링
트래픽 흐름이 존재하고 테스트 규칙에서 일치하는 요청을 찾고 있는지 확인합니다.
테스트 중인 보호 기능에 대한 다음 정보를 찾아 봅니다.
-
로그 - 웹 요청과 일치하는 규칙에 대한 정보에 액세스합니다.
-
규칙 - 웹 ACL에서 Count 작업이 있는 규칙이
nonTerminatingMatchingRules아래에 나열됩니다. Allow 또는 Block을 포함하는 규칙은terminatingRule로 나열됩니다. CAPTCHA 또는 Challenge를 포함하는 규칙은 종료형 또는 비 종료형일 수 있으므로 규칙 일치 결과에 따라 두 범주 중 하나에 나열됩니다. -
규칙 그룹 - 규칙 그룹은
ruleGroupId필드에서 식별되며, 해당 규칙 일치 항목은 독립형 규칙과 동일하게 분류됩니다. -
레이블 - 규칙이 요청에 적용한 레이블이
Labels필드에 나열됩니다.
자세한 정보는 로그 필드을 참조하세요.
-
-
Amazon CloudWatch 지표 — 웹 ACL 요청 평가를 위해 다음 지표에 액세스할 수 있습니다.
-
규칙 — 지표는 규칙 조치별로 그룹화됩니다. 예를 들어, Count 모드에서 규칙을 테스트하면 일치하는 규칙이 웹 ACL의
Count지표로 나열됩니다. -
규칙 그룹 — 규칙 그룹의 지표는 규칙 그룹 지표 아래에 나열됩니다.
-
다른 계정이 소유한 규칙 그룹 - 규칙 그룹 지표는 일반적으로 규칙 그룹 소유자만 볼 수 있습니다. 하지만 규칙에 대한 규칙 동작을 재정의하면 해당 규칙의 지표가 웹 ACL 지표 아래에 나열됩니다. 또한 모든 규칙 그룹에서 추가한 레이블은 웹 ACL 지표에 나열됩니다.
이 범주의 규칙 그룹은 다른 계정에서 공유한 AWS 에 대한 관리형 규칙 AWS WAF AWS Marketplace 관리형 규칙 그룹다른 서비스에서 제공하는 규칙 그룹,, 및 규칙 그룹입니다.
-
레이블 - 평가 중에 웹 요청에 추가된 레이블은 웹 ACL 레이블 지표에 나열됩니다. 레이블이 자신의 규칙 및 규칙 그룹에 의해 추가되었는지 또는 다른 계정이 소유한 규칙 그룹의 규칙에 의해 추가되었는지에 관계없이 모든 레이블의 지표에 액세스할 수 있습니다.
자세한 정보는 웹 ACL 지표 보기을 참조하세요.
-
-
웹 ACL 트래픽 개요 대시보드 - AWS WAF 콘솔의 웹 ACL 페이지로 이동한 다음 트래픽 개요 탭을 열어 웹 ACL이 평가한 웹 트래픽의 요약에 액세스할 수 있습니다.
트래픽 개요 대시보드는 애플리케이션 웹 트래픽을 평가할 때 AWS WAF 수집하는 Amazon CloudWatch 지표의 요약을 거의 실시간으로 제공합니다.
자세한 정보는 웹 ACL 트래픽 개요 대시보드을 참조하세요.
-
샘플링된 웹 요청 - 웹 요청 샘플과 일치하는 규칙에 대한 액세스 정보입니다. 샘플 정보는 웹 ACL의 규칙에 대한 지표 이름으로 일치 규칙을 식별합니다. 규칙 그룹의 경우 지표는 규칙 그룹 참조 문을 식별합니다. 규칙 그룹 내 규칙의 경우 샘플에는
RuleWithinRuleGroup의 일치하는 규칙 이름이 나열됩니다.자세한 정보는 웹 요청 샘플 보기을 참조하세요.
-
-
거짓 긍정을 해결하기 위한 완화 조치 구성
규칙이 일치되어서는 안 되는 웹 요청과 일치되어 거짓 긍정이 발생하고 있다고 판단되는 경우, 다음 옵션을 통해 웹 ACL 보호를 조정하여 이 문제를 완화할 수 있습니다.
규칙 검사 기준 수정
자체 규칙의 경우 대체로 웹 요청을 검사하는 데 사용하는 설정을 조정하기만 하면 됩니다. 예로는 정규식 패턴 집합의 사양을 변경하거나, 검사 전에 요청 구성 요소에 적용하는 텍스트 변환을 조정하거나, 전달된 IP 주소를 사용하도록 전환하는 것 등이 있습니다. 문제를 일으키는 규칙 유형에 대한 지침은 규칙 문 기본 사항 섹션을 참조하세요.
더 복잡한 문제 해결
제어할 수 없는 검사 기준과 일부 복잡한 규칙의 경우 요청을 명시적으로 허용 또는 차단하거나 문제가 되는 규칙에 의한 평가에서 요청을 제외하는 규칙을 추가하는 등 기타 변경을 수행해야 할 수 있습니다. 관리형 규칙 그룹에는 대체로 이러한 유형의 완화가 필요하지만 다른 규칙에도 필요할 수 있습니다. 속도 기반 규칙 문 및 SQL 명령어 삽입 공격 규칙 문을 예로 들 수 있습니다.
거짓 긍정을 줄이기 위해 수행하는 작업은 사용 사례에 따라 다릅니다. 다음은 일반적인 접근 방식입니다.
-
완화 규칙 추가 - 새 규칙보다 먼저 실행되고 거짓 긍정을 유발하는 요청을 명시적으로 허용하는 규칙을 추가합니다. 웹 ACL의 규칙 평가 순서에 대한 자세한 내용은 웹 ACL의 규칙 및 규칙 그룹 처리 순서 섹션을 참조하세요.
이 방법을 사용하면 허용된 요청이 보호된 리소스로 전송되므로 새 평가 규칙에 도달하지 않습니다. 새 규칙이 유료 관리형 규칙 그룹인 경우 이 방법은 규칙 그룹의 사용 비용을 억제하는 데도 도움이 될 수 있습니다.
-
완화 규칙을 포함하는 논리적 규칙 추가 - 논리적 규칙 문을 사용하여 거짓 긍정을 배제하는 규칙과 새 규칙을 결합할 수 있습니다. 자세한 내용은 논리적 규칙 문을 참조하세요.
예를 들어 요청 범주에 대해 거짓 긍정을 생성하는 SQL 명령어 삽입 공격 일치 문을 추가한다고 가정해 보겠습니다. 이러한 요청과 일치하는 규칙을 만든 다음 논리적 규칙 문을 사용하는 규칙을 결합하면 둘 다 거짓 긍정 기준과 일치하지 않고 SQL 명령어 삽입 공격 기준과 일치하는 요청만 일치하게 됩니다.
-
범위 축소 문 추가 - 속도 기반 문 및 관리형 규칙 그룹 참조 문의 경우 주 명령문 안에 범위 축소 문을 추가하여 거짓 긍정이 발생하는 요청을 평가 대상에서 제외합니다.
범위 축소 문과 일치하지 않는 요청은 규칙 그룹 또는 속도 기반 평가에 절대 도달하지 않습니다. 범위 축소 문에 대한 자세한 내용은 범위 축소 문 섹션을 참조하세요. 예시는 봇 관리에서 IP 범위 제외을 확인하세요.
-
레이블 일치 규칙 추가 - 레이블 지정을 사용하는 규칙 그룹의 경우 문제가 되는 규칙이 요청에 적용하는 레이블을 식별합니다. 규칙 그룹 규칙을 계산 모드에서 설정해야 할 수도 있습니다(아직 설정하지 않은 경우). 문제가 되는 규칙에 의해 추가되는 레이블과 일치하며 규칙 그룹 다음에 실행되도록 배치된 레이블 일치 규칙을 추가합니다. 레이블 일치 규칙에서 허용하려는 요청과 차단하려는 요청을 필터링할 수 있습니다.
이 방법을 사용하는 경우 테스트를 마쳤을 때 문제가 되는 규칙을 규칙 그룹에서 계산 모드로 유지하고 사용자 지정 레이블 일치 규칙을 그대로 유지합니다. 레이블 일치 문에 대한 자세한 내용은 레이블 일치 규칙 문 섹션을 참조하세요. 예제는 차단된 특정 봇 허용 및 ATP 예제: 분실 및 손상된 보안 인증 정보에 대한 사용자 지정 처리 단원을 참조하세요.
-
관리형 규칙 그룹 버전 변경 - 버전이 지정된 관리형 규칙 그룹의 경우 사용 중인 버전을 변경합니다. 예를 들어, 성공적으로 사용하고 있던 마지막 정적 버전으로 다시 전환할 수 있습니다.
이는 일반적으로 임시 해결책입니다. 테스트 또는 스테이징 환경에서 최신 버전을 계속 테스트하거나 공급자로부터 호환성이 더 좋은 버전을 기다리는 동안 프로덕션 트래픽의 버전을 변경할 수 있습니다. 관리형 규칙 그룹에 대한 자세한 내용은 관리형 규칙 그룹 섹션을 참조하세요.
-
새 규칙이 필요한 요청과 일치하는 것으로 확인되면 테스트의 다음 단계로 이동하여 이 절차를 반복합니다. 프로덕션 환경에서 테스트 및 조정의 마지막 단계를 수행하십시오.
