Amazon Web Services 한국 블로그

Amazon CloudFront에서 클릭 한 번으로 일반적인 웹 위협 완화시키기

이 글은 AWS Blog에 게재된 Mitigate Common Web Threats with One Click in Amazon CloudFront의 한국어 번역으로 이갑인 솔루션즈 아키텍트가 번역 및 감수하였습니다.

이제 클릭 한 번으로 Amazon CloudFront 배포에 AWS WAF 보호를 추가할 수 있습니다. 이 블로그에서는 비용 및 추가 보안 권장 사항과 함께 이 새로운 기능이 제공하는 보호를 어떻게 설정하고 모니터링하는지 안내합니다.

이 블로그는 짧은 지연 시간과 높은 전송 속도로 데이터, 비디오, 애플리케이션 및 API를 전 세계 고객에게 안전하게 제공하는 데 사용할 수 있는 AWS 서비스인 Amazon CloudFront에 관한 것입니다. CloudFront는 사용자와 가까운 위치에 콘텐츠를 캐싱하고, 사용자와 가까운 위치에서 TLS 연결을 종료하고, 공용 인터넷이 아닌 AWS의 프라이빗 백본을 통해 사용자 요청을 라우팅하여 정적 및 동적 애플리케이션의 성능을 향상시킵니다.

공개적으로 액세스 가능한 웹 애플리케이션과 API는 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소모할 수 있는 OWASP 상위 10가지 취약점, SQL 인젝션, 자동화된 요청, HTTP 플러드(서비스 거부(DoS)) 등의 위협에 노출되어 있습니다. 웹 애플리케이션 방화벽인 AWS WAF는 인입되는 요청을 분석하여 이러한 유형의 위협이 서버에 도달하기 전에 차단할 수 있도록 도와줍니다. AWS WAF에서 활성화하기를 원하는 보안 규칙을 웹 액세스 제어 목록(웹 ACL)에 포함되도록 구성하여 CloudFront 배포를 보호할 수 있습니다.

이제 AWS에서 권장하는 기본 보호 규칙을 포함하고 있는 AWS WAF 웹 ACL을 CloudFront 설정시에 직접 생성하여 설정할 수 있습니다. 이를 통해 애플리케이션에 웹 위협에 대한 1차 방어선이 제공됩니다. 포함된 보안 보호 기능은 Amazon 내부 위협 인텔리전스를 기반으로 잠재적인 위협으로부터 IP 주소를 차단하고, OWASP 상위 10개에 설명된 웹 애플리케이션에서 발견되는 가장 일반적인 취약성으로부터 보호하고, 애플리케이션 취약성을 발견하는 악의적 행위자로부터 보호합니다. 선택적으로 나중에 AWS WAF 콘솔에서 애플리케이션에 특정한 봇, 사기 또는 기타 위협에 대해 추가 보안 보호를 구성할 수 있습니다.

클릭 한 번으로 CloudFront에서 보안 보호 활성화

신규 및 기존 CloudFront 배포 모두에 대해 AWS WAF로 보안 보호를 활성화할 수 있습니다.

  1. Amazon CloudFront 콘솔을 엽니다.
  2. 배포 생성을 선택하여 배포를 생성한 다음 보호하려는 오리진을 입력합니다. 또는 기존 배포에 대해 편집을 선택합니다.
  3. Web Application Firewall (WAF) 섹션에서 Enable security protections를 선택합니다.
  4. 나머지 배포 설정을 검토하고 Create distribution를 클릭하거나 기존 배포를 편집하는 경우 Save Settings을 클릭합니다.

그림 1: 배포를 위해 AWS WAF로 보안 보호 활성화

CloudFront는 AWS WAF 웹 ACL을 생성하고, 일반적인 웹 위협으로부터 서버를 보호하는 규칙을 구성하고, 웹 ACL을 CloudFront 배포에 연결합니다. 배포를 생성하거나 편집한 후 최종적으로 적용된 AWS WAF 웹 ACL을 확인할 수 있습니다. 링크를 선택하면 AWS WAF 콘솔에서 웹 ACL을 열 수 있습니다.

그림 2: 배포 및 웹 ACL 확인

Overview 탭에는 웹 ACL에서 검사한 요청이 표시됩니다.

그림 3: AWS WAF 웹 ACL에서 허용하거나 차단한 요청 확인

규칙 탭을 선택하면 CloudFront 보안 보호에 의해 자동으로 생성되는 세 가지 규칙을 볼 수 있습니다.

  1. AWS-AWSManagedRulesAmazonIpReputationList – Amazon 내부 위협 인텔리전스를 기반으로 잠재적인 위협으로부터 IP 주소를 차단합니다.
  2. AWS-AWSManagedRulesCommonRuleSet – OWASP Top 10에 설명된 대로 웹 애플리케이션에서 발견되는 가장 일반적인 취약성으로부터 보호합니다.
  3. AWS-AWSManagedRulesKnownBadInputsRuleSet – 애플리케이션 취약성을 알아내려는 악의적 행위자로부터 보호합니다.

그림 4: CloudFront 배포용으로 자동 생성된 웹 ACL 규칙

추가 보호 구성

AWS WAF에는 애플리케이션의 필요에 따라 다른 유형의 웹 위협으로부터 보호하기 위해 웹 ACL에 추가할 수 있는 추가 규칙이 있습니다.

HTTP 플러드는 비정상적으로 많은 수의 HTTP 요청으로 웹 애플리케이션을 침수시키는 DoS 공격의 한 유형입니다. 속도 기반 규칙을 구성하면 5분 동안 허용하는 요청 수를 초과하는 공격자 소스 IP 주소를 차단할 수 있습니다.

봇 트래픽은 제한된 인벤토리를 비축하거나, 사기성 신용카드 거래를 발생시키거나, 호스팅 비용을 증가시킴으로써 고객 경험을 저하시킬 수 있습니다. AWS WAF 봇 컨트롤은 탐지를 피하기 위해 정교한 기술을 사용하는 고급 봇 트래픽을 탐지하고 차단할 수 있습니다.

가용성 및 비용

이제 AWS WAF의 원클릭 보안 보호 기능을 CloudFront 콘솔에서 사용할 수 있으며 신규 또는 기존 CloudFront 배포를 구성하는 데 사용할 수 있습니다. 자세한 내용은 CloudFront 개발자 안내서를 참조하십시오.

비용은 표준 AWS WAF 요금이 적용됩니다. CloudFront에서 생성한 AWS WAF 웹 ACL의 예상 비용은 월 1,000만 건의 요청에 대해 $14입니다. 규칙을 추가하거나 요청 볼륨이 변경되면 이 추정치가 변경됩니다. 기존 CloudFront 배포에 대한 총 요청 수를 보려면 CloudFront 콘솔의 보고서 및 분석 섹션에서 캐시 통계 보고서를 확인하십시오. 비용에 대한 자세한 내용은 AWS WAF 비용을 참조하십시오.