AWS 기술 블로그
AWS WAF 트래픽 개요 대시보드 소개
이 글은 AWS Security Blog에 게시된 Introducing the AWS WAF traffic overview dashboard by Dmitriy Novikov and Harith Gaddamanugu을 한국어 번역 및 편집하였습니다.
많은 네트워크 보안 운영자에게 애플리케이션 가동 시간을 보호하는 일은 네트워크 트래픽의 기준선을 설정하고, 의심스러운 발신자를 조사하고, 위험을 완화하는 최선의 방법을 결정하는 데 많은 시간이 소요되는 과제일 수 있습니다. 이 프로세스를 간소화하고 네트워크 보안 상태를 항시 파악하는 것은 보안 운영 센터 직원을 늘리지 않고 애플리케이션을 확장하려는 대부분의 IT 조직의 목표입니다. 이러한 과제를 해결하기 위해 AWS WAF는 애플리케이션이 AWS WAF로 보호될 때 보안 태세에 대한 정보에 입각한 결정을 내릴 수 있도록 트래픽 개요 대시보드를 도입했습니다.
이 게시물에서는 새로운 대시보드를 소개하고 AWS WAF를 사용하는 애플리케이션의 전반적인 보안에 대한 가시성을 높이고 대시보드에서 얻은 인사이트를 바탕으로 정보에 입각한 의사 결정을 내리는 데 도움이 되는 몇 가지 사용 사례를 자세히 설명합니다.
트래픽 개요 대시보드 소개
AWS WAF의 트래픽 개요 대시보드는 분산 서비스 거부(DDoS) 이벤트 중 속도 기반 규칙 추가와 같이 몇 번의 클릭만으로 보안 위험을 식별하고 조치할 수 있도록 보안 중심의 메트릭 개요를 제공합니다. 이러한 대시보드에는 AWS WAF가 애플리케이션 웹 트래픽을 평가할 때 수집하는 Amazon CloudWatch 메트릭에 대해 거의 실시간에 가까운 요약된 정보가 포함되어 있습니다.
이러한 대시보드는 기본적으로 제공되며 추가 설정이 필요하지 않습니다. 대시보드에는 AWS WAF로 모니터링하는 각 웹 액세스 제어 목록(웹 ACL)에 대한 메트릭(총 요청, 차단된 요청, 허용된 요청, 봇과 봇이 아닌 요청 비교, 봇 카테고리, CAPTCHA 해결 비율, 상위 10개 일치 규칙 등)이 표시됩니다.
기본 메트릭(총 요청 수, 차단된 요청 수, 차단된 일반 공격 등)에 액세스하거나, 가장 중요한 메트릭과 시각화를 사용하여 대시보드를 사용자 지정화 할 수 있습니다.
이러한 대시보드는 향상된 가시성을 제공하고 다음과 같은 질문에 답할 수 있도록 도와줍니다.
- AWS WAF가 검사한 트래픽 중 차단된 비율은 몇 %입니까?
- 차단된 트래픽의 상위 발신 국가는 무엇입니까?
- AWS WAF가 탐지하고 보호하는 일반적인 공격 유형은 무엇인가요?
- 이번 주 트래픽 패턴은 지난주와 비교해 어떻습니까?
대시보드에는 CloudWatch와 기본 및 즉시 통합 기능이 있습니다. 이 통합 기능을 사용하면 대시보드와 CloudWatch 사이를 오가며 탐색할 수 있습니다; 예를 들어 CloudWatch의 대시보드를 확인하여 보다 세분화된 메트릭 개요를 확인할 수 있습니다. 또한 기존 CloudWatch 위젯과 메트릭을 트래픽 개요 대시보드에 추가하여 검증된 가시성 구조를 대시보드에 가져올 수도 있습니다.
트래픽 개요 대시보드가 도입되면서, 이제 하나의 AWS WAF 도구인—샘플링된 요청—이 웹 ACL 내부에 독립형 탭으로 추가되었습니다. 이 탭에서는 AWS WAF가 검사한 웹 요청에 대한 규칙 일치 그래프를 볼 수 있습니다. 또한 요청 샘플링을 활성화한 경우, AWS WAF가 검사한 웹 요청 샘플의 테이블 뷰로 볼 수 있습니다.
요청 샘플에는 웹 ACL의 규칙과 일치하는 최대 100개의 요청과 규칙과 일치하지 않아 웹 ACL의 기본 조치가 적용된 또 다른 100개의 요청이 포함되어 있습니다. 샘플에 대한 요청은 지난 3시간 동안 콘텐츠에 대해 요청 받은 보호된 리소스에서 가져옵니다.
다음 그림은 트래픽 개요 대시보드의 일반적인 레이아웃을 보여줍니다. 이 대시보드에서는 공격 유형, 클라이언트 디바이스 유형, 국가 등 실행 가능한 인사이트를 표시하는 각 카테고리별로 검사된 요청을 분류합니다. 이 정보를 사용하여 예상 트래픽 프로필과 비교하면 추가 조사를 할 것인지 아니면 트래픽을 즉시 차단할 것인지 결정할 수 있습니다. 그림 1의 예시에서는, 웹 애플리케이션이 프랑스에서 오는 트래픽을 수신하지 않아야 하고 데스크톱 전용 애플리케이션인 경우 모바일 디바이스에서 발생하는 프랑스 발신 요청을 차단할 수 있습니다.
[그림 1: 여러 카테고리를 보여주는 섹션이 있는 대시보드는 단일 창구 역할을 합니다.]
사용 사례 1: 대시보드로 트래픽 패턴 분석
새로운 대시보드를 사용하면 웹 트래픽에 대한 가시성뿐만 아니라 잠재적인 위협이나 문제를 나타낼 수 있는 패턴을 분석할 수 있습니다. 대시보드의 그래프와 메트릭을 검토하면 추가 조사가 필요한 트래픽의 비정상적인 급증 또는 감소를 파악할 수 있습니다.
최상위 개요에는 대략적인 트래픽 양과 패턴이 표시됩니다. 여기에서 웹 ACL 메트릭으로 드릴다운하여 특정 규칙 및 규칙 그룹에 대한 트래픽 추세와 메트릭을 볼 수 있습니다. 대시보드에는 허용된 요청, 차단된 요청 등의 메트릭이 표시됩니다.
예상된 트래픽 패턴에서 벗어난 알림 또는 경고는 이벤트를 탐색할 수 있는 신호를 제공합니다. 탐색하는 동안 대시보드를 사용하여 개별 이벤트뿐만 아니라 더 넓은 맥락을 이해할 수 있습니다. 이렇게 하면 보안 이벤트나 잘못 구성된 규칙을 나타낼 수 있는 이상 징후 추세를 보다 쉽게 감지할 수 있습니다. 예를 들어, 평소에 특정 국가에서 분당 2,000건의 요청을 받았는데 갑자기 분당 10,000건의 요청을 받는다면 이를 조사해야 합니다. 대시보드를 사용하면 다양한 차원에서 트래픽을 살펴볼 수 있습니다. 요청의 급증만으로는 위협의 명확한 징후가 아닐 수 있지만, 예상치 못한 디바이스 유형과 같은 추가 지표가 보인다면 후속 조치를 취해야 할 강력한 이유가 될 수 있습니다.
다음 그림은 웹 ACL의 규칙에 의해 수행된 조치와 가장 많이 일치하는 규칙을 보여줍니다.
[그림 2: 웹 요청에 대한 다차원 개요]
대시보드에는 시간대별 상위 차단 요청과 허용 요청도 표시됩니다. 차단된 요청의 비정상적인 급증이 특정 IP 주소, 국가 또는 사용자 에이전트의 트래픽 급등과 일치하는지 확인하세요. 이는 악의적인 활동이나 봇 트래픽 시도를 나타낼 수 있습니다.
다음 그림은 보호된 웹 애플리케이션에 사용된 특정 벡터의 규칙과 일치된 수가 비정상적으로 많음을 보여줍니다.
[그림 3: 상단의 종료 규칙은 공격의 특정 벡터를 나타낼 수 있습니다.]
마찬가지로 상위의 허용된 요청을 검토하세요. 특정 URL로의 트래픽 급증이 있는 경우 애플리케이션이 제대로 작동하는지 조사해야 합니다.
트래픽 분석 후 다음 단계
트래픽 패턴을 분석한 후 고려해야 할 다음 단계는 다음과 같습니다:
- 조사 결과에 따라 합법적인 트래픽과 악성 트래픽을 더 잘 일치시키도록 AWS WAF 규칙을 조정하세요. 규칙을 미세 조정하여 오탐 또는 오탐을 줄일 수 있습니다. 정규 표현식이나 조건을 조정하여 정상적인 트래픽을 차단하는 규칙을 조정하세요.
- AWS WAF 로깅을 구성하고, 전용 보안 정보 및 이벤트 관리(SIEM) 솔루션이 있는 경우 로깅을 통합하여 이상 징후에 대한 자동 알림을 활성화하세요.
- 알려진 악성 IP를 자동으로 차단하도록 AWS WAF를 설정하세요. 식별된 위협자들에 기반한 IP 차단 목록을 유지 관리할 수 있습니다. 또한 Amazon 위협 연구팀에서 정기적으로 업데이트하는 Amazon IP 평판 목록 관리 규칙 그룹을 사용할 수 있습니다.
- 특정 페이지에 대한 트래픽이 급증하는 경우 웹 애플리케이션이 제대로 작동하는지 확인하여 비정상적인 패턴을 유발하는 애플리케이션 문제를 배제하세요.
- 트래픽 흐름에서 새로운 공격 패턴을 발견하면 새 규칙을 추가하여 차단하세요. 그다음 메트릭을 검토하여 새 규칙이 미치는 영향을 확인합니다.
- DDoS 이벤트 및 기타 악의적인 급증 트래픽에 대해 소스 IP를 모니터링하세요. AWS WAF 속도 기반 규칙을 사용하여 이러한 급증 트래픽을 완화합니다.
- 트래픽이 폭주하는 경우, DDoS 보호 기능이 있는 CloudFront를 사용하여 추가 보호 계층을 구현하세요.
새로운 대시보드는 애플리케이션에 도달하는 트래픽에 대한 귀중한 통찰력을 제공하며 트래픽 분석에 대한 추측을 없애줍니다. 이를 통해 AWS WAF 보호 기능을 미세 조정하고 가용성이나 데이터에 영향을 미치기 전에 위협을 차단할 수 있습니다. 데이터를 정기적으로 분석하여 잠재적인 위협을 탐지하고 최적화된 결정을 내릴 수 있습니다.
예를 들어, 과거 트래픽 패턴과 비교할 때 대시보드에서 예상치 못한 트래픽 급증이 특정 국가에서 발생한 것으로 보인다면, 웹 ACL에서 지리적 일치 규칙 문을 생성하여 해당 트래픽을 차단하고 웹 애플리케이션에 도달하지 못하게 할 수 있습니다.
대시보드는 통찰력을 얻고 AWS WAF 관리형 규칙이 트래픽 보호에 어떻게 도움이 되는지 이해하는 데 유용한 도구입니다.
사용 사례 2: 온보딩 중 봇 트래픽 이해 및 봇 제어 규칙 그룹 미세 조정
AWS WAF Bot Control을 사용하면 스크래퍼, 스캐너, 크롤러, 상태 모니터 및 검색 엔진과 같은 봇을 모니터링, 차단 또는 속도 제한을 적용할 수 있습니다. 규칙 그룹의 대 검사 수준을 사용하는 경우 자체 식별되지 않는 봇에 대해 챌린지할 수 있어 악의적인 봇이 웹사이트에 대해 활동하기 더 어렵고 비용이 많이 들도록 만들 수 있습니다.
트래픽 개요 대시보드의 Bot Control 개요 탭에서 요청 샘플링(Bot Control이 활성화되지 않은 경우)과 실시간 CloudWatch 메트릭스(Bot Control이 활성화된 경우)를 기반으로 현재 트래픽 중 얼마나 많은 트래픽이 봇에서 오는지 확인할 수 있습니다.
온보딩 단계에서 이 대시보드를 사용하여 트래픽을 모니터링하고 다양한 유형의 봇에서 얼마나 트래픽이 오는지 이해할 수 있습니다. 이를 봇 관리를 사용자 지정하는 시작점으로 할 수 있습니다. 예를 들어, 카운트 모드에서 일반적인 봇 제어 규칙 그룹을 활성화하고 원하는 트래픽이 잘못 분류되고 있는지 확인할 수 있습니다. 그런 다음 AWS WAF 봇 제어 예제: 특정 차단된 봇 허용에서 설명한 대로 규칙 예외를 추가할 수 있습니다.
다음 그림은 봇에 의해 생성된 것으로 감지된 요청의 다양한 측면을 시각화하는 위젯 모음을 보여줍니다. 카테고리와 볼륨을 이해하면 로그를 더 자세히 분석하여 조사하거나 특정 카테고리를 차단하여 원치 않는 트래픽임이 분명한 경우 정보에 입각한 결정을 내릴 수 있습니다.
[그림 4: 대시보드의 봇 관련 메트릭 모음]
시작한 후에는 동일한 대시보드를 사용하여 봇 트래픽을 모니터링하고 자체 식별하지 않는 정교한 봇에 대한 타겟 탐지 기능을 추가할지 검토할 수 있습니다. 표적 보호는 브라우저 조회, 지문 인식 및 행동 휴리스틱과 같은 탐지 기술을 사용하여 악성 봇 트래픽을 식별합니다. AWS WAF 토큰은 이러한 향상된 보호 조치의 필수 요소입니다.
AWS WAF는 자동 챌린지와 CAPTCHA 퍼즐에 성공적으로 응답한 클라이언트에 대해 토큰을 생성, 업데이트 및 암호화합니다. 토큰을 가진 클라이언트가 웹 요청을 보내면 암호화된 토큰을 포함하며, AWS WAF는 토큰을 해독하고 내용을 확인합니다.
Bot Control 대시보드의 토큰 상태 창에는 다양한 토큰 상태 레이블의 개수와 요청에 적용된 규칙 작업이 함께 표시됩니다. IP token absent thresholds 창에는 토큰 없이 너무 많은 요청을 보낸 IP에 대한 데이터가 표시됩니다. 이 정보를 사용하여 AWS WAF 구성을 미세 조정할 수 있습니다.
예를 들어, Bot Control 규칙 그룹 내에서 유효한 토큰이 없는 요청이 규칙 그룹 평가를 종료하고 웹 ACL에 의해 계속 평가될 수 있습니다. 토큰이 없거나 거부된 요청을 차단하려면 관리 규칙 그룹 바로 다음에 실행되어 규칙 그룹이 처리하지 않는 요청을 캡처하고 차단하는 규칙을 추가할 수 있습니다. 그림 5에 나와 있는 Token status 창을 사용하여 토큰을 획득한 요청량을 모니터링하고 해당 요청 속도를 제한하거나 차단할지 결정할 수 있습니다.
[그림 5: 토큰 상태를 통해 토큰을 획득하는 요청 볼륨 모니터링 가능]
CloudFront 보안 대시보드와 비교
AWS WAF 트래픽 개요 대시보드는 AWS WAF로 보호되는 리소스에 도달하는 웹 트래픽에 대한 전반적인 가시성을 향상시켜 줍니다. 반면에 CloudFront 보안 대시보드는 AWS WAF 가시성과 제어 기능을 CloudFront 배포에 직접 제공합니다. 잠재적인 위협이나 문제를 나타낼 수 있는 패턴에 대한 자세한 가시성과 분석이 필요한 경우 AWS WAF 트래픽 개요 대시보드가 가장 적합합니다. 그러나 서비스 콘솔 사이를 이동하지 않고 한 곳에서 애플리케이션 전송과 보안을 관리하고 애플리케이션의 주요 보안 동향, 허용 및 차단된 트래픽, 봇 활동에 대한 가시성을 확보하는 것이 목표라면 CloudFront 보안 대시보드가 더 나은 옵션이 될 수 있습니다.
가용성 및 가격
새로운 대시보드는 AWS WAF 콘솔에서 사용할 수 있으며, 이를 사용하여 트래픽을 더 잘 모니터링할 수 있습니다. 이러한 대시보드는 기본적으로 무료로 제공되며 추가 설정이 필요하지 않습니다. CloudWatch 로깅에는 별도의 요금 모델이 있으며, 전체 로깅을 사용하도록 설정한 경우 CloudWatch 요금이 부과됩니다. CloudWatch 요금에 대한 자세한 내용은 여기를 참조하세요. 표시되는 데이터를 사용자 환경의 필요에 맞게 조정하려면 대시보드를 사용자 지정할 수 있습니다.
결론
AWS WAF 트래픽 개요 대시보드를 사용하면 웹 보안 현황와 경계 보호를 개선하기 위해 주의가 필요한 트래픽 패턴에 대한 실행 가능한 통찰력를 얻을 수 있습니다.
이 게시물에서는 대시보드를 사용하여 웹 애플리케이션을 보호하는 방법을 알아보았습니다. 트래픽 패턴 분석과 가능한 다음 단계에 대해서도 살펴보았습니다. 또한 봇의 트래픽을 관찰하고 애플리케이션의 필요에 따라 봇과 관련된 후속 조치를 취하는 방법도 배웠습니다.
AWS WAF 트래픽 개요 대시보드는 대부분의 사용 사례를 충족하고 웹 트래픽에 대한 보안 가시성의 기본 옵션이 되도록 설계되었습니다. 그러나 사용자 지정 솔루션을 만들고 싶다면 최소한의 노력으로 AWS WAF용 대시보드 배포하기 블로그 포스트의 지침을 참조하세요.
이 게시물에 대한 의견이 있으시면 아래의 댓글 섹션에 의견을 제출하세요. 이 게시물에 대해 궁금한 점이 있으면 AWS 지원팀에 문의하세요.