AWS Shield Advanced 업데이트 – 자동 애플리케이션 계층 DDoS 완화

2016년에 저희는 AWS에서 실행되는 애플리케이션을 보호하는 관리형 분산 서비스 거부(DDoS) 보호 서비스인 AWS Shield를 출시했습니다. AWS Shield는 AWS Support에 문의하지 않고도 애플리케이션 가동 중지 시간 및 대기 시간을 최소화하는 상시 탐지 및 자동 인라인 완화 기능을 제공합니다.

AWS Shield에는 스탠다드 및 어드밴스드의 두 가지 계층이 있습니다. 모든 AWS 고객은 비용을 지불하지 않고 AWS Shield Standard의 자동 네트워크 계층 보호가 주는 이점을 누릴 수 있습니다. AWS Shield Standard는 가장 일반적이며 자주 발생하는 네트워크 및 전송 계층(계층 3 및 4) DDoS 공격을 방어하여 AWS 서비스의 가용성을 극대화합니다.

애플리케이션을 대상으로 하는 정교한 (계층 3~7) 위협에 대한 맞춤형 보호가 필요하다면 AWS Shield Advanced를 구독하면 됩니다. AWS Shield Advanced는 대규모의 복잡한 DDoS 공격에 대해 보다 민감한 탐지 및 맞춤형 완화 기능, 공격에 대한 실시간에 가까운 가시성, 그리고 레이어 7 공격 방어용 웹 애플리케이션 방화벽인 AWS WAF와의 통합을 제공합니다. 또한 AWS Shield Advanced는 AWS Shield 대응 팀(SRT)에 대한 연중무휴 액세스를 제공하고, DDoS 공격으로 인한 크기 조정 비용에 대한 비용 보호를 제공합니다.

AWS Shield Advanced는 보호되는 각 리소스에 대한 트래픽 기준을 설정합니다. 이 기준선과의 상당한 편차는 Amazon CloudWatch를 통해 DDoS 이벤트 및 트리거 알림으로 플래그가 지정됩니다. 그러나 이러한 이벤트를 완화하기 위해서는 악성 트래픽을 격리하는 AWS WAF 규칙을 수동으로 제작하여 AWS WAF 콘솔 또는 API를 통해 배포하고, 규칙의 효과를 평가해야 합니다. AWS Shield Advanced 고객은 SRT를 활용하여 이러한 AWS WAF 규칙을 생성하거나 또는 자체 전문 지식에 의존할 수 있지만, 이 프로세스는 시간이 많이 소요되므로 DDoS 공격을 완화하고, 애플리케이션에 대한 가용성에 미치는 영향을 방지하는 데 걸리는 시간이 늘어납니다.

오늘 AWS Shield Advanced에 대한 자동 애플리케이션 계층 DDoS 완화를 발표합니다. 이는 애플리케이션 가용성에 영향을 미칠 수 있는 악의적인 웹 트래픽을 자동으로 완화하는 모든 Shield Advanced 고객을 위해 포함된 새로운 기능 집합입니다. 이 기능은 고객을 대신하여 계층 7 DDoS 이벤트를 완화하기 위해 AWS WAF 규칙을 자동으로 생성, 테스트 및 배포합니다.

자동 애플리케이션 계층 DDoS 완화 활성화
AWS Shield 콘솔에 방문하여 자동 애플리케이션 계층 DDoS 완화를 시작하십시오. Shield Advanced의 이점을 누리려면 연간 구독이 필요 합니다.

AWS Shield Advanced를 구독한 후 보호하려는 리소스를 지정하고, 계층 7 DDoS 완화하며, AWS SRT 지원하고, CloudWatch의 대시보드를 구성하여 DDoS 이벤트를 모니터링합니다. 자세히 알아보려면 AWS 설명서에서 AWS Shield Advanced 시작하기 단원을 참조하십시오.

Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 활성화하려면, 계층 7 AWS 리소스 (예: CloudFront)를 선택하고 드롭다운 목록에서 [보호 구성]을 선택합니다.

그런 다음 [보호 편집]에서 계층 7 이벤트의 자동 완화 활성화 여부를 선택하고, [카운트] 또는[블록] 모드 ([자동 응답] 내)에서 WAF 규칙 생성 여부를 고릅니다. WAF 규칙을 카운트 모드로 배치하면 리소스 트래픽을 블록 모드로 배포하기에 앞서 리소스 트래픽이 어떻게 영향을 받는지 관찰할 수 있습니다. 자동 계층 7 완화를 활성화하려면 WebACL을 Shield 보호 리소스와 연결해야 합니다.

완화 조치는 언제든지 카운트 또는 블록 모드로 변경할 수 있습니다. 콘솔의 [이벤트] 탭으로 이동하여 탐지된 DDoS 이벤트를 보고, 감지된 이벤트를 선택하여 탐지, 완화 및 상위 기여자 지표를 확인합니다.

애플리케이션 계층 DDoS를 자동으로 완화하는 방법
CloudFront 배포 등의 계층 7 리소스를 보호하려는 경우, AWS Shield Advanced는 보호된 각 리소스에 대하여 30일 트래픽 기준선을 설정합니다.

자동 완화가 활성화된 경우에만 Shield 관리형 규칙 그룹을 생성합니다. 이 그룹에서 AWS Shield Advanced가 DDoS 이벤트에 대한 응답으로 AWS WAF 규칙을 생성합니다.

설정된 기준선에서 크게 벗어나는 트래픽은 잠재적 DDoS 이벤트로 플래그가 지정됩니다. 이벤트가 감지되면 Shield Advanced는 잘못된 요청 패턴을 기반으로 서명을 식별하기 위해 시도합니다. 서명이 식별되면 해당 서명으로 트래픽을 완화하기 위한 WAF 규칙이 생성됩니다.

규칙이 안전하다고 확인되면 Shield 관리 규칙 그룹에 추가되며, 고객은 규칙을 카운트 또는 블록 모드로 배포할지 여부를 선택할 수 있습니다. 또한 고객은 요청이 블록 또는 카운트되는 시점을 기준으로 CloudWatch 알림을 생성할 수 있습니다.

고객은 언제든지 자동 완화가 수행하는 작업(개수 또는 차단)을 변경하거나 완전히 비활성화할 수 있습니다. Shield Advanced는 이벤트가 완전히 사라진 것이 확인되면 AWS WAF 규칙을 자동으로 제거합니다. 자세한 내용은 AWS Shield 개발자 가이드의 Shield Advanced 자동 애플리케이션 계층 DDoS 완화 단원을 참조하십시오.

정식 출시
이제 AWS Shield Advanced를 사용할 수 있는 모든 AWS 리전에서 자동 애플리케이션 계층 DDoS 완화를 사용할 수 있으며 추가 비용 없이 활성화할 수 있습니다.

AWS Shield의 AWS 포럼을 통해, 또는 평소 이용하는 AWS Support 연락처를 통해 피드백을 보내실 수 있습니다.

– Channy