게시된 날짜: Feb 14, 2022
AWS WAF는 자격 증명 스터핑 공격, 억지 기법 시도, 기타 변칙적 로그인 활동에 대비하여 애플리케이션의 로그인 페이지를 보호하는 계정 탈취 방지책인 AWS WAF Fraud Control의 출시를 발표했습니다. 계정 탈취 방지책을 통해 네트워크 엣지에 발생하는 계정 탈취 시도를 사전에 막을 수 있습니다. 계정 탈취 방지책을 사용하여 사기 행위로 이어질 수 있는 무단 액세스를 방지하거나 방지 조치를 취할 수 있도록 영향을 받은 사용자에게 통보할 수 있습니다.
계정 탈취 방지책은 AWS 관리형 규칙을 통해 제공됩니다. AWS WAF 웹 ACL에 추가하면 애플리케이션에 제출된 사용자 이름 및 암호를 웹의 다른 곳에서 훼손된 자격 증명과 비교합니다. 또한, 장시간 관찰된 요청과 연계시켜 악의적인 사용자에 의한 변칙적인 로그인 시도를 모니터링함으로써 불규칙적 로그인 패턴, 억지 기법 시도, 자격 증명 스터핑과 같은 공격을 감지하고 완화합니다. 계정 탈취 방지책은 기본값으로 범위를 좁혀 로그인 페이지에서만 작동할 수 있습니다. 선택적으로 JavaScript 및 iOS/Android SDK와 통합하면 애플리케이션에 로그인을 시도하는 장치와 관련된 추가적인 텔레메트리를 수신하여 봇에 의한 자동 로그인 시도로부터 애플리케이션을 더 잘 보호할 수 있습니다. 또한, 계정 탈취 방지책을 AWS WAF Bot Control 및 AWS 관리형 규칙과 함께 사용하여 애플리케이션을 표적으로 삼는 봇에 대항하는 종합적인 방어층을 만들 수 있습니다.
시작하려면 단순히 AWS WAF 콘솔로 이동하고, 새로운 웹 ACL을 만들거나 기존 웹 ACL을 선택합니다. 마법사를 따라 보호할 AWS 리소스를 선택합니다. 관리형 규칙 그룹 목록에서 계정 탈취 보호를 선택합니다. 애플리케이션의 로그인 페이지 URL을 입력하고 사용자 이름과 암호 양식 필드가 로그인을 위한 HTTP 요청 본문 내에 위치할 장소를 표시합니다.
AWS WAF Fraud Control - 계정 탈취 방지책은 현재 미국 동부(버지니아 북부), 미국 서부(오레곤), EU(아일랜드), EU(런던), 아시아 태평양(싱가포르) AWS 리전에서 사용할 수 있습니다. 계정 탈취 방지 요금에 대한 자세한 내용은 AWS WAF 요금 페이지를 방문하세요. 자세한 내용은 AWS WAF 개발자 안내서를 참조하세요. AWS WAF에 대한 자세한 내용은 AWS WAF 웹 사이트를 참조하세요.