Amazon Web Services 한국 블로그
Amazon CloudFront에서 클릭 한 번으로 일반적인 웹 위협 완화시키기
이 글은 AWS Blog에 게재된 Mitigate Common Web Threats with One Click in Amazon CloudFront의 한국어 번역으로 이갑인 솔루션즈 아키텍트가 번역 및 감수하였습니다.
이제 클릭 한 번으로 Amazon CloudFront 배포에 AWS WAF 보호를 추가할 수 있습니다. 이 블로그에서는 비용 및 추가 보안 권장 사항과 함께 이 새로운 기능이 제공하는 보호를 어떻게 설정하고 모니터링하는지 안내합니다.
이 블로그는 짧은 지연 시간과 높은 전송 속도로 데이터, 비디오, 애플리케이션 및 API를 전 세계 고객에게 안전하게 제공하는 데 사용할 수 있는 AWS 서비스인 Amazon CloudFront에 관한 것입니다. CloudFront는 사용자와 가까운 위치에 콘텐츠를 캐싱하고, 사용자와 가까운 위치에서 TLS 연결을 종료하고, 공용 인터넷이 아닌 AWS의 프라이빗 백본을 통해 사용자 요청을 라우팅하여 정적 및 동적 애플리케이션의 성능을 향상시킵니다.
공개적으로 액세스 가능한 웹 애플리케이션과 API는 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소모할 수 있는 OWASP 상위 10가지 취약점, SQL 인젝션, 자동화된 요청, HTTP 플러드(서비스 거부(DoS)) 등의 위협에 노출되어 있습니다. 웹 애플리케이션 방화벽인 AWS WAF는 인입되는 요청을 분석하여 이러한 유형의 위협이 서버에 도달하기 전에 차단할 수 있도록 도와줍니다. AWS WAF에서 활성화하기를 원하는 보안 규칙을 웹 액세스 제어 목록(웹 ACL)에 포함되도록 구성하여 CloudFront 배포를 보호할 수 있습니다.
이제 AWS에서 권장하는 기본 보호 규칙을 포함하고 있는 AWS WAF 웹 ACL을 CloudFront 설정시에 직접 생성하여 설정할 수 있습니다. 이를 통해 애플리케이션에 웹 위협에 대한 1차 방어선이 제공됩니다. 포함된 보안 보호 기능은 Amazon 내부 위협 인텔리전스를 기반으로 잠재적인 위협으로부터 IP 주소를 차단하고, OWASP 상위 10개에 설명된 웹 애플리케이션에서 발견되는 가장 일반적인 취약성으로부터 보호하고, 애플리케이션 취약성을 발견하는 악의적 행위자로부터 보호합니다. 선택적으로 나중에 AWS WAF 콘솔에서 애플리케이션에 특정한 봇, 사기 또는 기타 위협에 대해 추가 보안 보호를 구성할 수 있습니다.
클릭 한 번으로 CloudFront에서 보안 보호 활성화
신규 및 기존 CloudFront 배포 모두에 대해 AWS WAF로 보안 보호를 활성화할 수 있습니다.
- Amazon CloudFront 콘솔을 엽니다.
- 배포 생성을 선택하여 배포를 생성한 다음 보호하려는 오리진을 입력합니다. 또는 기존 배포에 대해 편집을 선택합니다.
- Web Application Firewall (WAF) 섹션에서 Enable security protections를 선택합니다.
- 나머지 배포 설정을 검토하고 Create distribution를 클릭하거나 기존 배포를 편집하는 경우 Save Settings을 클릭합니다.
CloudFront는 AWS WAF 웹 ACL을 생성하고, 일반적인 웹 위협으로부터 서버를 보호하는 규칙을 구성하고, 웹 ACL을 CloudFront 배포에 연결합니다. 배포를 생성하거나 편집한 후 최종적으로 적용된 AWS WAF 웹 ACL을 확인할 수 있습니다. 링크를 선택하면 AWS WAF 콘솔에서 웹 ACL을 열 수 있습니다.
Overview 탭에는 웹 ACL에서 검사한 요청이 표시됩니다.
규칙 탭을 선택하면 CloudFront 보안 보호에 의해 자동으로 생성되는 세 가지 규칙을 볼 수 있습니다.
- AWS-AWSManagedRulesAmazonIpReputationList – Amazon 내부 위협 인텔리전스를 기반으로 잠재적인 위협으로부터 IP 주소를 차단합니다.
- AWS-AWSManagedRulesCommonRuleSet – OWASP Top 10에 설명된 대로 웹 애플리케이션에서 발견되는 가장 일반적인 취약성으로부터 보호합니다.
- AWS-AWSManagedRulesKnownBadInputsRuleSet – 애플리케이션 취약성을 알아내려는 악의적 행위자로부터 보호합니다.
추가 보호 구성
AWS WAF에는 애플리케이션의 필요에 따라 다른 유형의 웹 위협으로부터 보호하기 위해 웹 ACL에 추가할 수 있는 추가 규칙이 있습니다.
HTTP 플러드는 비정상적으로 많은 수의 HTTP 요청으로 웹 애플리케이션을 침수시키는 DoS 공격의 한 유형입니다. 속도 기반 규칙을 구성하면 5분 동안 허용하는 요청 수를 초과하는 공격자 소스 IP 주소를 차단할 수 있습니다.
봇 트래픽은 제한된 인벤토리를 비축하거나, 사기성 신용카드 거래를 발생시키거나, 호스팅 비용을 증가시킴으로써 고객 경험을 저하시킬 수 있습니다. AWS WAF 봇 컨트롤은 탐지를 피하기 위해 정교한 기술을 사용하는 고급 봇 트래픽을 탐지하고 차단할 수 있습니다.
가용성 및 비용
이제 AWS WAF의 원클릭 보안 보호 기능을 CloudFront 콘솔에서 사용할 수 있으며 신규 또는 기존 CloudFront 배포를 구성하는 데 사용할 수 있습니다. 자세한 내용은 CloudFront 개발자 안내서를 참조하십시오.
비용은 표준 AWS WAF 요금이 적용됩니다. CloudFront에서 생성한 AWS WAF 웹 ACL의 예상 비용은 월 1,000만 건의 요청에 대해 $14입니다. 규칙을 추가하거나 요청 볼륨이 변경되면 이 추정치가 변경됩니다. 기존 CloudFront 배포에 대한 총 요청 수를 보려면 CloudFront 콘솔의 보고서 및 분석 섹션에서 캐시 통계 보고서를 확인하십시오. 비용에 대한 자세한 내용은 AWS WAF 비용을 참조하십시오.