기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
완화 기법
일부 형태의 DDoS 완화 기능은 서비스에 자동으로 포함됩니다. AWS DDoS다음 섹션에서 설명하는 특정 서비스가 포함된 AWS 아키텍처를 사용하고 사용자와 애플리케이션 간 네트워크 흐름의 각 부분에 대한 추가 모범 사례를 구현하면 복원력을 더욱 개선할 수 있습니다.
Amazon, AWS Global Accelerator CloudFront, Amazon Route 53과 같은 엣지 로케이션에서 운영되는 AWS 서비스를 사용하여 알려진 모든 인프라 계층 공격에 대한 포괄적인 가용성 보호를 구축할 수 있습니다. 이러한 서비스는 AWS 글로벌 에지 네트워크의 일부이며, 전 세계에 분산된 엣지
Amazon CloudFront, 글로벌 액셀러레이터, Amazon Route 53을 사용하면 다음과 같은 이점이 있습니다.
-
AWS 글로벌 에지 네트워크 전반에서 인터넷 및 DDoS 완화 용량에 액세스할 수 있습니다. 이는 테라비트 규모에 이를 수 있는 대규모 공격을 완화하는 데 유용합니다.
-
AWS Shield DDoS완화 시스템은 AWS 에지 서비스와 통합되어 몇 분에서 1초 미만으로 time-to-mitigate 단축됩니다.
-
스테이트리스 SYN 플러드 완화 기능은 들어오는 연결을 보호 서비스에 전달하기 전에 SYN 쿠키를 사용하여 들어오는 연결을 확인합니다. 이렇게 하면 유효한 연결만 애플리케이션에 도달할 수 있고 합법적인 최종 사용자는 오탐지가 발생하지 않도록 보호할 수 있습니다.
-
대규모 공격의 영향을 분산하거나 격리하는 자동 트래픽 엔지니어링 시스템. DDoS 이러한 모든 서비스는 공격이 오리진에 도달하기 전에 소스에서 공격을 격리하므로 이러한 서비스로 보호되는 시스템에 미치는 영향이 줄어듭니다.
-
애플리케이션 계층 방어와 함께 CloudFront 사용하면 AWS WAF
현재 애플리케이션 아키텍처 (예: 온프레미스 데이터 센터) 를 AWS 리전 변경할 필요가 없습니다.
인바운드 데이터 전송에는 요금이 부과되지 않으며 이를 통해 AWS 차단되는 DDoS 공격 트래픽에 대해서는 비용을 지불하지 않습니다. AWS Shield다음 아키텍처 다이어그램에는 AWS 글로벌 에지 네트워크 서비스가 포함되어 있습니다.
DDoS-복원력이 뛰어난 레퍼런스 아키텍처
이 아키텍처에는 공격에 대한 웹 애플리케이션의 복원력을 향상시키는 데 도움이 되는 여러 AWS 서비스가 포함되어 있습니다. DDoS 다음 표에는 이러한 서비스와 해당 서비스가 제공할 수 있는 기능이 요약되어 있습니다. AWS 이 문서에서 쉽게 참조할 수 있도록 각 서비스에 모범 사례 지표 (BP1,BP2) 태그를 붙였습니다. 예를 들어 다음 섹션에서는 모범 사례 지표를 포함하여 CloudFront Amazon과 Global Accelerator에서 제공하는 기능에 대해 설명합니다. BP1
표 2 - 모범 사례 요약
| AWS 엣지 | AWS 리전 | |||||
|---|---|---|---|---|---|---|
| Amazon CloudFront (BP1) 을 () 와 함께 AWS WAF 사용 BP2 | 글로벌 액셀러레이터 사용 () BP1 |
아마존 루트 53 사용 (BP3) |
(BP6) 와 함께 Elastic Load Balancing AWS WAF (BP2) 사용 |
ACLsAmazon에서 보안 그룹 및 네트워크 사용 VPC (BP5) |
||
|
레이어 3 (예: UDP 리플렉션) 공격 완화 |
✔ | ✔ |
✔ |
✔ |
✔ |
✔ |
| 레이어 4 (예: SYN 플러드) 공격 완화 | ✔ | ✔ |
✔ |
✔ |
||
| 레이어 6 (예:TLS) 공격 완화 | ✔ | ✔ |
✔ |
✔ |
||
| 공격 표면 감소 | ✔ | ✔ |
✔ |
✔ |
✔ |
|
| 애플리케이션 계층 트래픽을 흡수하도록 확장할 수 있습니다. | ✔ | ✔ |
✔ |
✔ |
✔ |
✔ |
| 계층 7 (애플리케이션 계층) 공격 완화 | ✔ | ✔(*) |
✔ |
✔ |
✔(*) |
✔(*) |
|
과도한 트래픽과 대규모 공격의 지리적 격리 및 분산 DDoS |
✔ | ✔ |
✔ |
|||
✔ (*): Application Load AWS WAF Balancer와 함께 사용하는 경우
DDoS공격에 대응하고 공격을 방어하기 위한 준비 상태를 개선하는 또 다른 방법은 구독하는 것입니다. AWS Shield Advanced사용의 이점은 다음과 같습니다. AWS Shield Advanced
-
애플리케이션 가용성에 영향을 미치는 DDoS 공격을 완화하는 데 필요한 지원을 위해 AWS Shield 대응팀 (AWS SRT) 의 연중무휴 전문 지원을 이용할 수 있으며, 여기에는 선택적 사전 참여 기능이 포함됩니다.
-
트래픽을 DDoS 완화 시스템으로 조기에 라우팅하고 엘라스틱 IP 주소와 함께 사용할 경우 Amazon EC2 (Elastic Load Balancer 포함) 또는 Network Load Balancer에 대한 time-to-mitigate 공격을 개선할 수 있는 민감한 탐지 임계값
-
다음과 함께 사용할 경우 애플리케이션의 기준 트래픽 패턴을 기반으로 하는 맞춤형 계층 7 탐지 AWS WAF
-
Shield Advanced가 사용자 지정 규칙을 생성, 평가 및 배포하여 탐지된 DDoS 공격에 대응하는 자동 애플리케이션 계층 DDoS 완화 AWS WAF
-
애플리케이션 계층 DDoS 공격 완화를 위해 추가 비용 없이 액세스 가능 (Amazon CloudFront 또는 Application Load Balancer와 함께 사용하는 경우) AWS WAF
-
추가 비용 없이 보안 정책을 중앙 집중식으로 관리합니다. AWS Firewall Manager
-
공격으로 인한 규모 조정 관련 비용을 제한적으로 환불해 줄 수 있는 비용 보호. DDoS
-
고객별로 적용되는 AWS Shield Advanced 향상된 서비스 수준 계약.
-
보호 그룹을 사용하면 리소스를 묶을 수 있으며, 여러 리소스를 단일 단위로 취급하여 애플리케이션의 탐지 및 완화 범위를 사용자 지정하는 셀프 서비스 방식을 제공합니다. 보호 그룹에 대한 자세한 내용은 Shield Advanced 보호 그룹을 참조하십시오.
-
DDoSAWS Management Console
,API, Amazon CloudWatch 지표와 경보를 사용하여 공격을 파악할 수 있습니다.
이 선택적 DDoS 완화 서비스는 어느 곳에서나 호스팅되는 애플리케이션을 보호하는 데 도움이 됩니다. AWS 리전이 서비스는 Route 53 및 글로벌 액셀러레이터에서 전 세계적으로 사용할 수 있습니다. CloudFront 지역적으로는 Application Load Balancer, Classic Load Balancer 및 엘라스틱 IP 주소를 보호하여 Network Load Balancer () 또는 Amazon 인스턴스를 보호할 수 있습니다. NLBs EC2
전체 AWS Shield Advanced 기능 목록과 이에 AWS Shield대한 자세한 내용은 작동 방식을 참조하십시오. AWS Shield
