AWS Shield
AWS 클라우드

AWS Shield는 AWS에서 실행되는 웹 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스입니다. AWS Shield는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합을 제공하므로 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다. AWS Shield에는 두 계층이 있습니다. Standard 및 Advanced.

모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다. AWS Shield 스탠다드는 가장 일반적이고 빈번하게 발생하며 웹 사이트 또는 애플리케이션을 목표로 하는 네트워크 및 전송 계층 DDoS 공격으로부터 보호합니다. AWS Shield 스탠다드를 Amazon CloudFront 및 Amazon Route 53과 함께 사용하면, 모든 알려진 인프라(계층 3 및 4) 공격으로부터 가용성을 포괄적으로 보호할 수 있습니다.

Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFrontAmazon Route 53 리소스에서 실행되는 웹 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield 어드밴스를 구독하면 됩니다. AWS Shield 스탠다드가 제공하는 일반적 네트워크 및 전송 계층 보호 이외에, AWS Shield 어드밴스는 정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 거의 실시간의 공격 가시성, 웹 애플리케이션 방화벽인 AWS WAF와의 통합을 제공합니다. 또한, AWS Shield 어드밴스에서는 AWS DDoS Response Team(DRT)을 이용할 수 있고 DDoS 관련 EC2, ELB, CloudFront 또는 Route 53 사용량 급증으로 인한 요금 증가로부터 보호받을 수 있습니다.

AWS Shield Advanced는 전 세계 모든 Amazon CloudFront 및 Amazon Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 Amazon CloudFront를 배포함으로써 전 세계 어디에서든 호스팅된 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon S3, Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB) 또는 AWS 외부의 사용자 지정 서버가 될 수 있습니다. 또한, 버지니아 북부, 오레곤, 아일랜드, 도쿄 및 캘리포니아 북부 리전에서는 탄력적 IP 또는 Elastic Load Balancing(ELB)에서 직접 AWS Shield 어드밴스를 활성화할 수 있습니다.


100x100_benefit_ingergration

AWS Shield 스탠다드를 사용하면 AWS 리소스가 가장 빈번히 발생하는 일반적인 네트워크 및 전송 계층 DDoS 공격으로부터 자동으로 보호됩니다. 관리 콘솔 또는 API를 사용하여 보호하려는 탄력적 IP, Elastic Load Balancing(ELB), Amazon CloudFront 또는 Amazon Route 53 리소스에 대해 AWS Shield 어드밴스 보호를 활성화하는 것만으로 더 높은 수준의 보호를 실현할 수 있습니다.

100x100_benefit_customize

AWS Shield Advanced는 고객이 정교한 애플리케이션 계층 공격을 완화하기 위한 사용자 지정 규칙을 작성할 수 있는 유연성을 제공합니다. 이러한 사용자 지정 가능한 규칙은 즉시 배포할 수 있어 빠르게 공격을 완화할 수 있습니다. 자동으로 불량 트래픽을 차단하거나 발생하는 사고에 대응하는 선제적 규칙을 설정할 수 있습니다. 또한 고객을 대신하여 애플리케이션 계층 DDoS 공격을 완화하는 규칙을 작성할 수 있는 24X7 AWS DDoS Response Team(DRT)을 이용할 수도 있습니다.

100x100_benefit_lowcost-affordable

AWS 고객은 자동으로 AWS Shield Standard를 통해 가장 일반적 DDoS 공격 중 일부에 대해 네트워크 계층 보호를 제공받습니다. 이 보호는 추가 비용, 리소스 또는 시작 시간이 필요하지 않습니다. AWS Shield 어드밴스는 DDoS 공격으로 인한 EC2, Elastic Load Balancing(ELB), Amazon CloudFront 및 Amazon Route 53 사용량 급증으로 발생한 요금으로부터 보호해주는 기능인 AWS "DDoS 비용 보호"를 제공합니다.

신속한 탐지

AWS Shield Standard는 AWS로 유입되는 트래픽을 검사하고 트래픽 서명, 이상 알고리즘 및 기타 분석 기법의 조합을 사용하여 악성 트래픽을 실시간으로 탐지하는 상시 네트워크 흐름 모니터링을 제공합니다.

인라인 공격 완화  

자동 완화 기법은 AWS Shield 스탠다드에 내장되어 가장 빈번히 발생하는 일반적인 인프라 공격에 대한 보호를 제공합니다. 자동 완화는 애플리케이션에 인라인으로 적용되므로 지연 시간으로 인한 영향이 없습니다. 상시 탐지 및 인라인 완화가 애플리케이션 가동 중지를 최소화하며, 사용자는 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다. AWS Shield Standard는 결정론적 패킷 필터링, 트래픽 셰이핑 기반 우선순위와 같은 여러 기법을 사용하여 애플리케이션에 대한 영향 없이 자동으로 공격을 완화합니다. 또한 AWS WAF를 사용하여 규칙을 작성함으로써 애플리케이션 계층 DDoS 공격을 완화할 수도 있습니다. AWS WAF는 종량 과금제로 청구됩니다.


향상된 탐지

AWS Shield 어드밴스는 향상된 탐지 및 네트워크 흐름 검사뿐만 아니라 탄력적 IP 주소, Elastic Load Balancing(ELB), Amazon CloudFront 또는 Amazon Route 53 리소스의 애플리케이션 계층 트래픽에 대한 모니터링을 제공합니다. 리소스별 모니터링과 같은 추가 기법을 사용하여 AWS Shield Advanced는 DDoS 공격을 세부적으로 탐지합니다. AWS Shield Advanced는 리소스에서 트래픽 베이스라인 대비 이상을 식별하여 HTTP flood 또는 DNS query flood와 같은 애플리케이션 계층 DDoS 공격을 탐지합니다.

고급 공격 완화

AWS Shield Advanced는 AWS Shield Standard의 기능 이외에 보다 정교한 자동 완화를 제공합니다. 또한 AWS DDoS Response Team(DRT)이 보다 복잡하고 정교한 DDoS 공격에 대한 수동 완화를 적용합니다. AWS Shield 어드밴스는 고급 라우팅 기법을 사용하여 더 큰 규모의 DDoS 공격에 대한 추가적인 완화 용량을 자동으로 제공합니다. 애플리케이션 계층 공격의 경우 AWS WAF를 사용하여 사고에 대응할 수 있습니다. AWS WAF를 사용하여 요청률 기반 블랙리스팅(Rate Based Blacklisting)과 같은 선제적 규칙을 설정하여 자동으로 불량 트래픽을 차단하거나 발생하는 사고에 즉시 대응할 수 있습니다. 애플리케이션 계층 보호를 위해 AWS WAF를 사용하는 데는 추가 요금이 부과되지 않습니다. 또한, 직접 DRT의 도움을 받아 애플리케이션 계층 DDoS 공격에 대한 대응으로 AWS WAF 규칙을 배치하도록 할 수 있습니다. DRT는 공격을 진단하고, 고객이 허용할 경우 고객 대신 완화 기법을 적용합니다.

가시성 및 공격 알림

AWS Shield Advanced는 Amazon CloudWatch를 통한 거의 실시간 알림으로 DDoS 공격에 대해 완벽한 가시성을 제공합니다. AWS DDoS Response Team(DRT)과 협력하여 이벤트 후 분석 및 조사에 액세스할 수 있습니다. 또한 “AWS WAF 및 AWS Shield” 관리 콘솔에서 공격 전 요약을 볼 수도 있습니다.

특별 지원

AWS Shield 어드밴스를 사용하면 DDoS 공격 이전, 도중 및 이후에 이용할 수 있는 24X7 AWS DDoS Response Team(DRT)에 액세스할 수 있습니다. DRT는 사고를 분류하고 근본 원인을 식별할 수 있도록 도우며 고객 대신 완화 기법을 적용합니다. 또한 DRT를 통해 공격 후 분석을 수행할 수도 있습니다.

DDoS 비용 보호

AWS Shield 어드밴스는 DDoS 공격으로 인한 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront 또는 Amazon Route 53 사용량 급증으로 발생한 요금으로부터 보호해주는 “DDoS 비용 보호”를 제공합니다. DDoS 공격에 대한 대응으로 이러한 서비스가 확장될 경우 AWS가 사용량 급증으로 발생한 요금에 대해 서비스 크레딧을 제공합니다. 서비스 크레딧을 요청하는 방법에 대한 자세한 내용은 AWS WAF와 AWS Shield Advanced 설명서를 참조하십시오.

AWS에서 실행되는 웹 애플리케이션은 이미 AWS Shield Standard를 통해 보호되고 있습니다. AWS Shield Advanced를 활성화하려면 “AWS WAF 및 AWS Shield” 관리 콘솔로 이동하고 Advanced 보호를 활성화할 리소스를 선택합니다.

AWS Shield 시작하기