AWS Shield
AWS 클라우드

AWS Shield는 AWS에서 실행되는 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스입니다. AWS Shield는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합을 제공하므로 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다. AWS Shield에는 두 계층이 있습니다. Standard 및 Advanced.

모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다. AWS Shield 스탠다드는 가장 일반적이고 빈번하게 발생하며 웹 사이트 또는 애플리케이션을 목표로 하는 네트워크 및 전송 계층 DDoS 공격으로부터 보호합니다. AWS Shield 스탠다드를 Amazon CloudFront 및 Amazon Route 53과 함께 사용하면, 모든 알려진 인프라(계층 3 및 4) 공격으로부터 가용성을 포괄적으로 보호할 수 있습니다.

Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFrontAmazon Route 53 리소스에서 실행되는 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield 어드밴스를 구독하면 됩니다. AWS Shield 스탠다드가 제공하는 일반적 네트워크 및 전송 계층 보호 이외에, AWS Shield 어드밴스는 정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 거의 실시간의 공격 가시성, 웹 애플리케이션 방화벽인 AWS WAF와의 통합을 제공합니다. 또한 AWS Shield 어드밴스도 AWS DDoS Response Team(DRT)에 대한 24X7 액세스를 제공하며 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFrontAmazon Route 53 요금에서 DDoS 관련 급증으로부터 보호합니다.

AWS Shield Advanced는 전 세계 모든 Amazon CloudFront 및 Amazon Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 Amazon CloudFront를 배포함으로써 전 세계 어디에서든 호스팅된 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon S3, Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB) 또는 AWS 외부의 사용자 지정 서버가 될 수 있습니다. 또한, 버지니아 북부, 오레곤, 아일랜드, 도쿄 및 캘리포니아 북부 리전에서는 탄력적 IP 또는 Elastic Load Balancing(ELB)에서 직접 AWS Shield 어드밴스를 활성화할 수 있습니다.

100x100_benefit_ingergration

AWS Shield 스탠다드를 사용하면 AWS 리소스가 가장 빈번히 발생하는 일반적인 네트워크 및 전송 계층 DDoS 공격으로부터 자동으로 보호됩니다. 관리 콘솔 또는 API를 사용하여 보호하려는 탄력적 IP, Elastic Load Balancing(ELB), Amazon CloudFront 또는 Amazon Route 53 리소스에 대해 AWS Shield 어드밴스 보호를 활성화하는 것만으로 더 높은 수준의 보호를 실현할 수 있습니다.

100x100_benefit_customize

AWS Shield Advanced는 고객이 정교한 애플리케이션 계층 공격을 완화하기 위한 사용자 지정 규칙을 작성할 수 있는 유연성을 제공합니다. 이러한 사용자 지정 가능한 규칙은 즉시 배포할 수 있어 빠르게 공격을 완화할 수 있습니다. 자동으로 불량 트래픽을 차단하거나 발생하는 사고에 대응하는 규칙을 선제적으로 설정할 수 있습니다. 또한 고객을 대신하여 애플리케이션 계층 DDoS 공격을 완화하는 규칙을 작성할 수 있는 24X7 AWS DDoS Response Team(DRT)에 액세스할 수도 있습니다.

100x100_benefit_lowcost-affordable

AWS 고객은 자동으로 AWS Shield Standard를 통해 가장 일반적 DDoS 공격 중에 대해 네트워크 계층 보호를 제공받습니다. 이 보호는 추가 비용, 리소스 또는 시작 시간이 필요하지 않습니다. AWS Shield 어드밴스는 DDoS 공격으로 인한 EC2, Elastic Load Balancing(ELB), Amazon CloudFront 및 Amazon Route 53 사용량 급증으로 발생한 요금으로부터 보호해주는 기능인 AWS "DDoS 비용 보호"를 제공합니다.

신속한 탐지

AWS Shield Standard는 AWS로 유입되는 트래픽을 검사하고 트래픽 서명, 이상 알고리즘 및 기타 분석 기법의 조합을 사용하여 악성 트래픽을 실시간으로 탐지하는 상시 네트워크 흐름 모니터링을 제공합니다

인라인 공격 완화

자동 완화 기법은 AWS Shield 스탠다드에 내장되어 가장 빈번히 발생하는 일반적인 인프라 공격에 대한 보호를 제공합니다. 자동 완화는 애플리케이션에 인라인으로 적용되므로 지연 시간으로 인한 영향이 없습니다. AWS Shield Standard는 결정론적 패킷 필터링, 트래픽 셰이핑 기반 우선순위와 같은 여러 기법을 사용하여 애플리케이션에 대한 영향 없이 자동으로 공격을 완화합니다. 또한 AWS WAF를 사용하여 규칙을 작성함으로써 애플리케이션 계층 DDoS 공격을 완화할 수도 있습니다. AWS WAF는 종량 과금제로 청구됩니다.

상시 탐지 및 인라인 완화가 애플리케이션 가동 중지를 최소화하며, 사용자는 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다


향상된 탐지

AWS Shield 어드밴스를 사용하면 DDoS 공격 이전, 도중 및 이후에 이용할 수 있는 DDoS Response Team(DRT)에 24X7 액세스할 수 있습니다. DRT는 사고를 분류하고 근본 원인을 식별할 수 있도록 도우며 고객 대신 완화 기법을 적용합니다. 또한 DRT를 통해 공격 후 분석을 수행할 수도 있습니다.

고급 공격 완화

AWS Shield 어드밴스는 더 정교한 자동 완화를 제공합니다. AWS Shield 어드밴스는 고급 라우팅 기법을 사용하여 더 큰 규모의 DDoS 공격에 대한 추가적인 완화 용량을 자동으로 제공합니다. 또한 AWS DDoS Response Team(DRT)이 보다 복잡하고 정교한 DDoS 공격에 대한 수동 완화를 적용합니다. 애플리케이션 계층 공격의 경우 AWS WAF를 사용하여 사고에 대응할 수 있습니다. AWS WAF를 사용하여 요청률 기반 블랙리스팅(Rate Based Blacklisting)과 같은 선제적 규칙을 설정하여 자동으로 불량 트래픽을 차단하거나 발생하는 사고에 즉시 대응할 수 있습니다. 애플리케이션 계층 보호를 위해 AWS WAF를 사용하는 데는 추가 요금이 부과되지 않습니다. 또한, 직접 DRT의 도움을 받아 애플리케이션 계층 DDoS 공격에 대한 대응으로 AWS WAF 규칙을 배치하도록 할 수 있습니다. DRT는 공격을 진단하고, 고객이 허용할 경우 고객 대신 완화 기법을 적용합니다.

가시성 및 공격 알림

AWS Shield Advanced는 Amazon CloudWatch를 통한 거의 실시간 알림과 “AWS WAF 및 AWS Shield” 관리 콘솔의 자세한 진단을 통해 DDoS 공격에 대한 완벽한 가시성을 제공합니다. DDoS Response Team(DRT)과 협력하여 이벤트 후 분석 및 조사에 액세스할 수 있습니다. 또한 “AWS WAF 및 AWS Shield” 관리 콘솔에서 공격 전 요약을 볼 수도 있습니다.

특별 지원

AWS Shield 어드밴스는 향상된 탐지 및 네트워크 흐름 검사뿐만 아니라 탄력적 IP 주소, Elastic Load Balancing(ELB), Amazon CloudFront 또는 Amazon Route 53 리소스의 애플리케이션 계층 트래픽에 대한 모니터링을 제공합니다. 리소스별 모니터링과 같은 추가 기법을 사용하여 AWS Shield Advanced는 DDoS 공격을 세부적으로 탐지합니다. AWS Shield Advanced는 리소스에서 트래픽 베이스라인 대비 이상을 식별하여 HTTP flood 또는 DNS query flood와 같은 애플리케이션 계층 DDoS 공격을 탐지합니다.

DDoS 비용 보호

AWS Shield 어드밴스는 DDoS 공격으로 인한 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront 또는 Amazon Route 53 사용량 급증으로 발생한 요금으로부터 보호해주는 “DDoS 비용 보호”를 제공합니다. DDoS 공격에 대한 대응으로 이러한 서비스가 확장될 경우 AWS가 사용량 급증으로 발생한 요금에 대해 AWS Shield 서비스 크레딧을 제공합니다. 서비스 크레딧을 요청하는 방법에 대한 자세한 내용은 AWS WAF와 AWS Shield Advanced 설명서를 참조하십시오.

DNS

Amazon Route 53 사용

AWS Shield Standard는 추가 비용 없이 인프라 계층 DDoS 공격으로부터 Amazon Route 53 Hosted Zone을 자동으로 보호합니다. 여기에는 사용자의 DNS를 빈번하게 목표로 하는 반사 공격 또는 신플러드 공격이 포함됩니다. AWS Shield Standard는 헤더 유효성 검사 및 우선순위 기반 트래픽 성형과 같은 다양한 기술을 사용하여 이러한 DDoS 공격을 자동으로 완화합니다.

또한 AWS Shield Standard는 AWS DDoS Response Team에 대한 24x7 액세스를 통해 수동 개입이 필요한 심각한 상황에 대해서도 추가적인 보호를 제공합니다. 뿐만 아니라, AWS Shield Standard는 Route 53 인프라 공격에 대한 가시성도 제공합니다.

Amazon Route 53 및 AWS Shield를 사용하여 DDoS 위험을 줄이는 방법에 대해 자세히 알아보십시오.


웹 애플리케이션 및 API
Amazon CloudFront 또는 Application Load Balancer 사용

Amazon CloudFront를 사용하는 경우, AWS Shield Standard는 자동으로 SYN floods, UDP floods 또는 다른 반사 공격과 같은 인프라 계층 공격으로부터 포괄적인 보호를 제공합니다. AWS Shield Standard의 상시 탐지 및 완화 시스템은 계층 3과 4의 악성 트래픽을 자동으로 스트럽하여 애플리케이션을 보호합니다. AWS Shield Standard에서 탐지한 인프라 계층 공격의 99% 이상이 Amazon CloudFront에서 공격이 발생한 후 1초 이내에 자동으로 완화됩니다.

Amazon CloudFront를 사용하여 DDoS 공격으로부터 동적 애플리케이션을 보호하는 방법에 대해 알아보십시오.

Slack에서 어떻게 Amazon CloudFront를 사용하여 DDoS 공격으로부터 보호하는지 알아보십시오.

발표자:
Alex Graham, 선임 운영 엔지니어, Slack Technologies, Inc.

Alex Graham, Sr. Operations Manager, Slack

정교한 대규모 DDoS 공격으로부터 추가적인 보호를 위해 Amazon CloudFront에 AWS Shield Advanced를 사용할 수도 있습니다. Shield Advanced를 사용하면 고객이 정교한 인프라 계층(계층 3 또는 4) 공격에 대해 트래픽 엔지니어링과 같은 추가 기법 등 필요한 완화 기능을 적용하는 AWS DDoS Response Team(DRT)에 24x7 액세스할 수 있습니다. 또한, AWS Shield Advanced는 HTTP floods와 같은 애플리케이션 계층 공격으로부터도 보호할 수 있습니다. AWS Shield Advanced의 상시 가동 기본 탐지 시스템은 고객의 정상 애플리케이션 트래픽을 기준선으로 하여 이상 현상을 모니터링합니다. AWS Shield Advanced에는 추가 비용 없이 AWS WAF가 포함되므로 애플리케이션 계층 완화 기능을 사용자 지정할 수 있습니다.


다른 애플리케이션(UDP 기반 애플리케이션 등)
탄력적 IP 주소 사용

TCP를 기반으로 하지 않는 다른 사용자 지정 애플리케이션(UDP, SIP 등)에서는 Amazon CloudFront 또는 Elastic Load Balancing과 같은 서비스를 사용할 수 없습니다. 이러한 경우에는 대개 인터넷이 연결된 Amazon EC2 인스턴스에서 직접 애플리케이션을 실행해야 합니다. 또한, AWS Shield Standard는 DNS 반사, NTP 반사, SSDP 반사 등 UDP 반사 공격과 같은 일반적인 인프라 계층(계층 3 및 4) DDoS 공격으로부터 Amazon EC2 인스턴스를 보호합니다. AWS Shield Standard는 잘 정의된 DDoS 공격 서명이 탐지되는 경우 자동으로 실행되는 우선순위 기반 트래픽 제어와 같은 다양한 기법을 사용합니다.

탄력적 IP 주소에 AWS Shield Advanced를 활성화함으로써 정교한 대규모 DDoS 공격으로부터 이러한 애플리케이션을 좀 더 안전하게 보호할 수 있습니다. AWS Shield Advanced의 향상된 DDoS 탐지 기능은 AWS 리소스 유형과 EC2 인스턴스 크기를 자동으로 탐지하여 사전에 정의된 적절한 완화 기능을 적용합니다. AWS Shield Advanced를 사용하면 고객이 24x7 AWS DDoS Response Team(DRT)에 요청하여 고유한 사용자 지정 완화 프로필을 생성할 수 있습니다. 또한, AWS Shield Advanced에서는 DDoS 공격 동안 모든 Amazon VPC 네트워크 액세스 제어 목록(ACL)을 AWS 네트워크 경계에 자동으로 적용함으로써 추가 대역폭에 대한 액세스를 제공하고 용량을 스크럽하여 대규모 볼륨의 DDoS 공격을 완화할 수 있습니다. AWS Shield Advanced는 SYN floods와 같은 DDoS 공격이나 UDP floods와 같은 다른 벡터로부터 추가적인 보호를 제공합니다.

탄력적 IP를 Amazon EC2 인스턴스에 연결하는 방법에 대해 자세히 알아보십시오.

AWS에서 실행되는 웹 애플리케이션은 이미 AWS Shield Standard를 통해 보호되고 있습니다. AWS Shield Advanced를 활성화하려면 “AWS WAF 및 AWS Shield” 관리 콘솔로 이동하고 Advanced 보호를 활성화할 리소스를 선택합니다.

AWS Shield 시작하기