AWS Shield

관리형 DDoS 보호

AWS Shield는 AWS에서 실행되는 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스입니다. AWS Shield는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합을 제공하므로 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다. AWS Shield에는 두 계층- Standard 및 Advanced가 있습니다.

모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다. AWS Shield Standard는 가장 일반적이고 빈번하게 발생하며 웹 사이트 또는 애플리케이션을 목표로 하는 네트워크 및 전송 계층 DDoS 공격으로부터 보호합니다. AWS Shield Standard를 Amazon CloudFront 및 Amazon Route 53과 함께 사용하면, 모든 알려진 인프라(계층 3 및 4) 공격으로부터 가용성을 포괄적으로 보호할 수 있습니다.

Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 리소스에서 실행되는 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield Advanced를 구독하면 됩니다. AWS Shield Standard가 제공하는 네트워크 및 전송 계층 보호 이외에, AWS Shield Advanced는 정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 거의 실시간의 공격 가시성, 웹 애플리케이션 방화벽 AWS WAF와의 통합을 제공합니다. 또한 AWS Shield Advanced도 AWS DRT(DDoS Response Team)에 대한 24X7 액세스를 제공하며 DDoS 관련 급증 시 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 요금 보호를 제공합니다.

AWS Shield Advanced는 모든 Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 Amazon CloudFront를 배포함으로써 전 세계 어디에서든 호스팅된 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon S3, Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB) 또는 AWS 외부의 사용자 지정 서버가 될 수 있습니다. 또한, 버지니아 북부, 오하이오, 오레곤, 캘리포니아 북부, 아일랜드, 프랑크프루트, 도쿄 및 시드니 리전에서는 탄력적 IP 또는 Elastic Load Balancing(ELB)에서 직접 AWS Shield Advanced를 활성화할 수 있습니다.

이점

원활한 통합 및 배포

AWS 리소스는 AWS Shield Standard를 통해 가장 빈번히 발생하는 일반적인 네트워크 및 전송 계층 DDoS 공격으로부터 자동으로 보호됩니다. 관리 콘솔 또는 API를 사용하여 보호하려는 탄력적 IP, Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 또는 Amazon Route 53 리소스에 대해 AWS Shield Advanced 보호를 활성화하는 것만으로 더 높은 수준의 보호를 실현할 수 있습니다. 라우팅을 변경하지 않고 이러한 보호를 활성화할 수 있습니다.

사용자 지정 가능한 보호

AWS Shield Advanced에서는 인프라(계층 3 및 4) 보호를 위한 리소스를 유연하게 선택할 수 있습니다. AWS WAF로 사용자 지정된 규칙을 작성하여 정교한 애플리케이션 계층 공격을 완화할 수 있습니다. 이러한 사용자 지정 가능한 규칙은 즉시 배포할 수 있어 빠르게 공격을 완화할 수 있습니다. 자동으로 불량 트래픽을 차단하거나 발생하는 사고에 대응하는 규칙을 선제적으로 설정할 수 있습니다. 또한 고객을 대신하여 애플리케이션 계층 DDoS 공격을 완화하는 규칙을 작성할 수 있는 24X7 AWS DDoS Response Team(DRT)에 액세스할 수도 있습니다.

관리형 보호 및 공격 가시성

AWS Shield Standard는 가장 빈번히 발생하는 일반적인 네트워크 및 전송 계층 DDoS 공격에 대한 휴리스틱 기반의 상시 네트워크 플로우 모니터링 및 인라인 완화를 제공합니다. AWS Shield Advanced는 향상된 리소스별 탐지를 제공하며 정교하거나 더 큰 규모의 공격에는 고급 완화 및 라우팅 기술을 사용합니다. 또한 AWS DRT(DDoS Response Team)의 상시 지원을 통해 가용성에 영향을 미치는 엣지 사례를 수동으로 완화할 수도 있습니다. AWS Shield Advanced는 AWS CloudWatch 지표 및 공격 진단을 통해 모든 DDoS 인시던트에 대한 가시성 및 분석 정보를 제공합니다. 또한 AWS에서 글로벌 위협 환경 대시보드를 통해 DDoS 위협 환경을 파악할 수 있습니다.

비용 효율

AWS Shield Standard는 추가 비용 없이 모든 AWS 고객에게 자동으로 활성화됩니다. AWS Advanced는 AWS Shield Advanced로 보호되는 리소스에 대해 AWS WAF 및 AWS Firewall Manager를 추가 비용 없이 제공합니다. 또한 AWS Shield Advanced로 보호되는 EC2, Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 리소스 사용량이 DDoS 공격의 결과로 급증할 경우 AWS 요금을 보호해주는 기능인 “조정 시 DDoS 요금 보호”를 제공합니다.

AWS Shield Standard 및 Advanced 기능에 대해 자세히 알아보기 >>

주요 고객

Netflix 8up logo
Dow Jones 8up logo
Mapbox
Aurora_logo-Pearson
rovio

보호 사용 사례

웹 애플리케이션 및 API

Amazon CloudFront를 사용하는 경우, AWS Shield Standard는 자동으로 SYN floods, UDP floods 또는 다른 반사 공격과 같은 인프라 계층 공격으로부터 포괄적인 보호를 제공합니다. AWS Shield Standard의 상시 탐지 및 완화 시스템은 계층 3과 4의 악성 트래픽을 자동으로 스트럽하여 애플리케이션을 보호합니다. AWS Shield Standard에서 탐지한 인프라 계층 공격의 99% 이상이 Amazon CloudFront에서 공격이 발생한 후 1초 이내에 자동으로 완화됩니다.

Amazon CloudFront를 사용하여 DDoS 공격으로부터 동적 애플리케이션을 보호하는 방법에 대해 알아보십시오.

Slack에서 어떻게 Amazon CloudFront를 사용하여 DDoS 공격으로부터 보호하는지 알아보십시오.

정교한 대규모 DDoS 공격으로부터 추가적인 보호를 위해 Amazon CloudFront에 AWS Shield Advanced를 사용할 수도 있습니다. Shield Advanced를 사용하면 고객이 정교한 인프라 계층(계층 3 또는 4) 공격에 대해 트래픽 엔지니어링과 같은 추가 기법 등 필요한 완화 기능을 적용하는 AWS DDoS Response Team(DRT)에 24x7 액세스할 수 있습니다. 또한, AWS Shield Advanced는 HTTP floods와 같은 애플리케이션 계층 공격으로부터도 보호할 수 있습니다. AWS Shield Advanced의 상시 가동 기본 탐지 시스템은 고객의 정상 애플리케이션 트래픽을 기준선으로 하여 이상 현상을 모니터링합니다. AWS Shield Advanced에는 추가 비용 없이 AWS WAF가 포함되므로 애플리케이션 계층 완화 기능을 사용자 지정할 수 있습니다.

Slack - 안전한 API 가속

발표자:
Alex Graham, 선임 운영 엔지니어, Slack Technologies, Inc.

200x100_Slack_Logo

DNS

AWS Shield Standard는 추가 비용 없이 인프라 계층 DDoS 공격으로부터 Amazon Route 53 Hosted Zone을 자동으로 보호합니다. 여기에는 사용자의 DNS를 빈번하게 목표로 하는 반사 공격 또는 신플러드 공격이 포함됩니다. AWS Shield Standard는 헤더 유효성 검사 및 우선순위 기반 트래픽 성형과 같은 다양한 기술을 사용하여 이러한 DDoS 공격을 자동으로 완화합니다.

또한 AWS Shield Standard는 AWS DDoS Response Team에 대한 24x7 액세스를 통해 수동 개입이 필요한 심각한 상황에 대해서도 추가적인 보호를 제공합니다. 뿐만 아니라, AWS Shield Advanced는 Route 53 인프라 공격에 대한 가시성도 제공합니다.

Amazon Route 53 및 AWS Shield를 사용하여 DDoS 위험을 줄이는 방법에 대해 자세히 알아보십시오.

다른 애플리케이션(UDP 기반 애플리케이션 등)

TCP를 기반으로 하지 않는 다른 사용자 지정 애플리케이션(UDP, SIP 등)에서는 Amazon CloudFront 또는 Elastic Load Balancing과 같은 서비스를 사용할 수 없습니다. 이러한 경우에는 대개 인터넷이 연결된 Amazon EC2 인스턴스에서 직접 애플리케이션을 실행해야 합니다. 또한, AWS Shield Standard는 DNS 반사, NTP 반사, SSDP 반사 등 UDP 반사 공격과 같은 일반적인 인프라 계층(계층 3 및 4) DDoS 공격으로부터 Amazon EC2 인스턴스를 보호합니다. AWS Shield Standard는 잘 정의된 DDoS 공격 서명이 탐지되는 경우 자동으로 실행되는 우선순위 기반 트래픽 제어와 같은 다양한 기법을 사용합니다.

탄력적 IP 주소에 AWS Shield Advanced를 활성화함으로써 정교한 대규모 DDoS 공격으로부터 이러한 애플리케이션을 좀 더 안전하게 보호할 수 있습니다. AWS Shield Advanced의 향상된 DDoS 탐지 기능은 AWS 리소스 유형과 EC2 인스턴스 크기를 자동으로 탐지하여 사전에 정의된 적절한 완화 기능을 적용합니다. AWS Shield Advanced를 사용하면 고객이 24x7 AWS DDoS Response Team(DRT)에 요청하여 고유한 사용자 지정 완화 프로필을 생성할 수 있습니다. 또한, AWS Shield Advanced에서는 DDoS 공격 동안 모든 Amazon VPC 네트워크 액세스 제어 목록(ACL)을 AWS 네트워크 경계에 자동으로 적용함으로써 추가 대역폭에 대한 액세스를 제공하고 용량을 스크럽하여 대규모 볼륨의 DDoS 공격을 완화할 수 있습니다. AWS Shield Advanced는 SYN floods와 같은 DDoS 공격이나 UDP floods와 같은 다른 벡터로부터 추가적인 보호를 제공합니다.

탄력적 IP를 Amazon EC2 인스턴스에 연결하는 방법에 대해 자세히 알아보십시오.

AWS 시작하기

icon1

AWS 계정 가입

AWS 프리 티어에 즉시 액세스할 수 있습니다.
icon2

10분 자습서로 알아보기

간단한 자습서를 통해 자세히 알아보십시오.
icon3

AWS를 사용하여 구축 시작

AWS 프로젝트를 시작하는 데 도움이 되는 단계별 안내서를 통해 구축을 시작하십시오.

AWS Shield에 대해 자세히 알아보기

기능 페이지로 이동하기
구축할 준비가 되셨습니까?
AWS Shield 시작하기
추가 질문이 있으십니까?
AWS에 문의하기