Elastic Load Balancing (BP6)

대규모 DDoS 공격은 단일 Amazon EC2 인스턴스의 용량을 압도할 수 있습니다. Elastic Load Balancing (ELB) 을 사용하면 많은 백엔드 인스턴스에 트래픽을 분산하여 애플리케이션 과부하 위험을 줄일 수 있습니다. Elastic Load Balancing은 자동으로 확장할 수 있으므로, 예를 들어 플래시 크라우드나 공격으로 인해 예상치 못한 추가 트래픽이 발생할 경우 더 큰 볼륨을 관리할 수 있습니다. DDoS VPC아마존에서 빌드한 애플리케이션의 경우 애플리케이션 유형에 따라 애플리케이션 로드 밸런서 (), 네트워크 로드 밸런서 (ALB), 클래식 로드 밸런서 () 등 세 가지 유형을 고려해야 합니다. ELBs NLB CLB

웹 애플리케이션의 경우 Application Load Balancer를 사용하여 콘텐츠를 기반으로 트래픽을 라우팅하고 올바른 형식의 웹 요청만 수락할 수 있습니다. Application Load Balancer는 SYN 플러드 또는 UDP 리플렉션 공격과 같은 여러 가지 일반적인 DDoS 공격을 차단하여 애플리케이션을 공격으로부터 보호합니다. Application Load Balancer는 이러한 유형의 공격이 탐지되면 추가 트래픽을 흡수하도록 자동으로 확장됩니다. 인프라 계층 공격으로 인한 규모 조정 활동은 AWS 고객에게 투명하며 청구서에는 영향을 미치지 않습니다.

Application Load Balancer를 사용하여 웹 애플리케이션을 보호하는 방법에 대한 자세한 내용은 애플리케이션 로드 밸런서 시작하기를 참조하십시오.

HTTP/이외의 HTTPS 애플리케이션의 경우 Network Load Balancer를 사용하여 매우 짧은 지연 시간으로 트래픽을 대상 (예: Amazon EC2 인스턴스) 으로 라우팅할 수 있습니다. Network Load Balancer의 주요 고려 사항 중 하나는 유효한 리스너의 로드 밸런서에 도달하는 모든 TCP SYN 또는 UDP 트래픽이 흡수되지 않고 대상으로 라우팅된다는 것입니다. 하지만 연결을 종료하는 TLS -listeners에는 적용되지 않습니다. TCP TCP리스너가 있는 네트워크 로드 밸런서의 경우 플러드를 방지하기 위해 글로벌 액셀러레이터를 배포하는 것이 좋습니다. SYN

Shield Advanced를 사용하여 엘라스틱 IP 주소에 대한 DDoS 보호를 구성할 수 있습니다. 가용 영역별로 엘라스틱 IP 주소를 Network Load Balancer에 할당하면 Shield Advanced는 Network Load Balancer DDoS 트래픽에 대한 관련 보호를 적용합니다.

Network Load Balancer를 사용한 보호 TCP 및 UDP 애플리케이션에 대한 자세한 내용은 네트워크 로드 밸런서 시작하기를 참조하십시오.

참고

보안 그룹 구성에 따라 연결 추적을 사용하여 트래픽에 대한 정보를 추적하려면 보안을 사용하는 리소스가 필요합니다. 이 경우 추적되는 연결 수가 제한되므로 로드 밸런서가 새 연결을 처리하는 기능에 영향을 미칠 수 있습니다.

IP 주소 (예: 0.0.0.0/0 또는::/0) 의 트래픽을 수락하는 인그레스 규칙이 포함되어 있지만 응답 트래픽을 허용하는 해당 규칙이 없는 보안 그룹 구성은 보안 그룹이 연결 추적 정보를 사용하여 응답 트래픽이 전송되도록 허용합니다. DDoS공격이 발생할 경우 추적된 최대 연결 수가 소진될 수 있습니다. 공용 Application Load Balancer 또는 Classic Load Balancer의 DDoS 복원력을 개선하려면 로드 밸런서와 연결된 보안 그룹이 연결 추적 (추적되지 않은 연결) 을 사용하지 않도록 구성하여 트래픽 흐름에 연결 추적 제한이 적용되지 않도록 해야 합니다.

이를 위해 인바운드 규칙이 모든 IP 주소 (0.0.0.0/0또는::/0) 의 TCP 흐름을 받아들이도록 허용하는 규칙으로 보안 그룹을 구성하고, 이 리소스가 응답 트래픽 (모든 IP 주소에 대한 아웃바운드 범위 허용 0.0.0.0/0 또는 모든 포트 (0-65535::/0) 을 전송할 수 있도록 아웃바운드 방향에 해당 규칙을 추가하여 응답 트래픽이 추적 정보가 아닌 보안 그룹 규칙을 기반으로 허용되도록 합니다. 이 구성을 사용하면 Classic 및 Application Load Balancer에 로드 밸런서 노드에 대한 새 연결 설정에 영향을 미칠 수 있는 배기 연결 추적 제한이 적용되지 않으므로 공격 발생 시 트래픽 증가에 따라 확장할 수 있습니다. DDoS 추적되지 않은 연결에 대한 자세한 내용은 보안 그룹 연결 추적: 추적되지 않은 연결을 참조하십시오.

보안 그룹 연결 추적을 피하면 DDoS 트래픽이 보안 그룹에서 허용한 소스에서 발생하는 경우에만 도움이 됩니다. 보안 그룹에서 허용되지 않는 소스의 DDoS 트래픽은 연결 추적에 영향을 주지 않습니다. 이러한 경우에는 연결 추적을 피하도록 보안 그룹을 재구성할 필요가 없습니다. 예를 들어, 보안 그룹 허용 목록이 회사 방화벽이나 신뢰할 수 있는 VPN IPs 송신 등과 같이 신뢰도가 높은 IP 범위로 구성된 경우에는 더욱 그렇습니다. CDNs

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Auto EC2 Scaling을 지원하는 아마존 (BP7)

스케일 (BP1,BP3) 에는 AWS 엣지 로케이션 사용