AWS WAF FAQ

AWS WAF란 무엇입니까?

AWS WAF는 고객이 정의한 조건에 따라 웹 요청을 허용, 차단 또는 모니터링(계수)하는 규칙을 구성하여 공격으로부터 웹 애플리케이션을 보호하는 웹 애플리케이션 방화벽입니다. 이러한 조건에는 IP 주소, HTTP 헤더, HTTP 본문, URI 문자열, SQL 명령어 주입 및 교차 사이트 스크립팅이 포함됩니다.

AWS WAF는 어떻게 트래픽을 허용 또는 차단합니까?

기본 서비스에서 웹 사이트에 대한 요청을 수신하면, 규칙과 비교하여 검사하도록 해당 요청을 AWS WAF로 전달합니다. 요청이 규칙에 정의된 조건에 부합하는 경우, AWS WAF에서 기본 서비스에 정의한 작업에 따라 해당 요청을 허용 또는 차단하도록 지시합니다.

AWS WAF는 내 웹 사이트 또는 애플리케이션을 어떻게 보호합니까?

AWS WAF는 AWS 고객이 웹 사이트와 애플리케이션을 위한 콘텐츠를 전달하기 위해 흔히 사용하는 서비스인 Amazon CloudFront, Application Load Balancer(ALB), Amazon API Gateway 및 AWS AppSync와 긴밀히 통합됩니다. Amazon CloudFront에서 AWS WAF를 사용할 때는 전 세계 곳곳에서 최종 사용자에게 가까운 곳에 위치한 모든 AWS 엣지 로케이션에서 규칙이 실행됩니다. 즉, 보안으로 인해 성능이 저하되지는 않습니다. 차단된 요청은 고객 웹 서버에 도달하기 전에 중지됩니다. Application Load Balancer, Amazon API Gateway 및 AWS AppSync와 같은 리전 서비스에서 AWS WAF를 사용하는 경우에는 규칙이 리전에서 실행되며 이를 사용하여 내부 리소스는 물론 인터넷 연결 리소스를 보호할 수 있습니다.

AWS에서 호스팅하지 않는 웹 사이트도 AWS WAF를 사용하여 보호할 수 있습니까?

예. AWS WAF는 Amazon CloudFront와 통합되어 있으므로 AWS 외부의 사용자 지정 오리진도 지원합니다.

AWS WAF를 사용하여 차단할 수 있는 공격의 유형은 무엇입니까?

AWS WAF는 SQL 명령어 주입과 교차 사이트 스크립팅(XSS)과 같은 일반적인 공격 기술로부터 웹 사이트를 보호할 수 있습니다. 또한 특정 사용자 에이전트, 특정 IP 주소로부터 트래픽을 차단하거나 특정 요청 헤더를 포함하는 트래픽을 차단 또는 속도 제한하는 규칙을 만들 수 있습니다. 관련 예제는 AWS WAF 개발자 안내서를 참조하십시오.

AWS WAF에서 사용할 수 있는 봇 완화 기능은 무엇입니까?

AWS WAF Bot Control은 널리 퍼져있는 일반적인 봇 트래픽이 사용자의 애플리케이션으로 유입되는 것을 확인하고 제어할 수 있는 능력을 제공합니다. Bot Control을 사용하면 스크래퍼, 스캐너 및 크롤러와 같은 널리 사용되는 봇을 쉽게 모니터링, 차단 또는 속도 제한할 수 있으며 상태 모니터 및 검색 엔진과 같은 일반적인 봇을 허용할 수도 있습니다. 애플리케이션을 보호하도록 사용자 지정 WAF 규칙 또는 WAF의 다른 관리형 규칙과 함께 봇 제어 관리형 규칙 그룹을 사용할 수 있습니다. 개발자 안내서의 AWS WAF Bot Control 섹션을 참조하세요. 

보안, 운영 또는 규제 준수 감사를 위해 내 계정에서 이루어진 모든 AWS WAF API 호출 내역을 확인할 수 있습니까?

예. 계정에서 이루어진 모든 AWS WAF API 호출 내역을 받아보려면 CloudTrail의 AWS Management Console에서 AWS CloudTrail을 켜기만 하면 됩니다. 자세한 정보는 AWS CloudTrail 홈 페이지를 방문하거나 AWS WAF 개발자 안내서를 참조하십시오.

AWS WAF에서 IPv6를 지원합니까?

예. IPv6가 지원되므로 AWS WAF는 IPv6와 IPv4 주소에서 수신되는 HTTP/S 요청을 모두 검사할 수 있습니다.

AWS WAF 규칙에 대한 IPSet 일치 조건이 IPv6를 지원합니까?

예. 설명서에 따라 기존 및 새로운 WebACL에 대한 새로운 IPv6 일치 조건을 설정할 수 있습니다.

해당하는 경우 AWS WAF 표본 요청에 IPv6 주소가 표시됩니까?

예. 해당하는 경우 표본 요청에 IPv6 주소가 표시됩니다.

모든 AWS WAF 기능에서 IPv6를 사용할 수 있습니까?

예. 서비스의 성능, 확장성 또는 가용성에 대한 별다른 변화 없이 IPv4와 IPv6 둘 다의 트래픽에 대해 모든 기존 기능을 사용할 수 있습니다.

AWS WAF는 어떤 서비스를 지원합니까?

AWS WAF는 Amazon CloudFront, Application Load Balancer(ALB), Amazon API Gateway 및 AWS AppSync에 배포할 수 있습니다. Amazon CloudFront에 배포되면, 콘텐츠 배포 네트워크(CDN)의 일부로 엣지 로케이션에서 리소스와 콘텐츠를 보호할 수 있습니다. Application Load Balancer에 배포되면, ALB 뒤에서 실행되는 오리진 웹 서버를 보호할 수 있습니다. Amazon API Gateway에 배포되면 REST API를 보호할 수 있습니다. AWS AppSync에 배포되면 GraphQL API를 보호할 수 있습니다.

AWS WAF는 어떤 AWS 리전에서 사용할 수 있습니까?

AWS 리전 서비스 표를 참조하십시오.

AWS WAF가 HIPAA 적격 서비스입니까

예. AWS는 AWS WAF를 HIPAA 적격 서비스로 포함하도록 HIPAA 규정 준수 프로그램을 확장했습니다. AWS와 BAA(Business Associate Agreement)를 체결한 경우 AWS WAF를 사용하여 일반적인 웹 취약점으로부터 웹 애플리케이션을 보호할 수 있습니다. 자세한 내용은 HIPAA 규정 준수를 참조하십시오.

AWS WAF 요금은 어떻게 적용됩니까? 선결제 비용이 있습니까?

AWS WAF의 요금은 고객이 생성한 웹 액세스 제어 목록(웹 ACL)의 수, 웹 ACL에 추가한 규칙의 수, 그리고 수신한 웹 요청의 수를 기준으로 부과됩니다. 사전 약정은 없습니다. AWS WAF 요금은 Amazon CloudFront 요금, Application Load Balancer(ALB) 요금, Amazon API Gateway 요금 및/또는 AWS AppSync 요금에 추가로 부과됩니다.

AWS WAF에서 속도 기반 규칙이란 무엇입니까

속도 기반 규칙은 AWS WAF에서 구성할 수 있는 규칙 유형으로, 이를 통해 지속적으로 업데이트되는 후행 5분 기간에 클라이언트 IP에서 허용하는 웹 요청의 수를 지정할 수 있습니다. IP 주소가 구성된 제한을 위반하면 요청률이 구성된 임계값 밑으로 내려갈 때까지 새로운 요청이 차단됩니다.

속도 기반 규칙과 일반 AWS WAF 규칙을 비교하면 어떻습니까?

속도 기반 규칙은 일반 규칙과 비슷하며 속도 기반 임계값을 구성하는 기능만 추가되었습니다. 예를 들어 속도 기반 규칙의 임계값을 2,000으로 설정하면, 이 규칙은 지난 5분 동안 요청 수가 2,000이 넘는 모든 IP 주소를 차단합니다. 또한, 속도 기반 규칙은 일반 규칙에서 사용할 수 있는 다른 모든 AWS WAF 조건을 포함할 수 있습니다.

속도 기반 규칙의 비용은 어떻게 됩니까?

속도 기반 규칙의 비용은 일반 AWS WAF 규칙과 같습니다. 즉, 매월 WebACL별로 규칙당 1 USD입니다.

속도 기반 규칙의 사용 사례에는 어떤 것이 있습니까?

다음은 속도 기반 규칙으로 해결할 수 있는 몇 가지 사용 사례입니다.

• IP 주소가 구성된 임계 속도(후행 5분 기간당 웹 요청 수로 구성 가능)를 초과하면 해당 IP 주소를 차단하거나 IP 주소의 수를 세고 싶습니다.
• 구성된 임계 속도를 초과하여 현재 차단된 IP 주소가 무엇인지 알고 싶습니다.
• 차단 목록에 추가되었으나 구성된 임계 속도를 더 이상 위반하지 않아 자동으로 제거될 예정인 IP 주소가 무엇인지 알고 싶습니다.
• 트래픽이 많은 특정 소스 IP 범위가 내 속도 기반 규칙에 따라 차단되지 않도록 하고 싶습니다.
  

기존 일치 조건이 속도 기반 규칙과 호환됩니까?

예. 속도 기반 규칙은 기존 AWS WAF 일치 조건과 호환됩니다. 따라서 일치 기준을 미세 조정하고 속도 기반 완화 기능을 웹 사이트의 특정 URL 또는 특정 참조자(또는 사용자 에이전트)로부터 수신되는 트래픽으로 제한하거나, 다른 사용자 지정 일치 기준을 추가할 수 있습니다.

속도 기반 규칙을 사용하여 웹 계층 DDoS 공격을 완화할 수 있습니까?

예. 이 새로운 규칙 유형은 웹 계층 DDoS 공격, 무작위 로그인 시도 및 배드 봇과 같은 사용 사례로부터 보호하도록 설계되었습니다.

속도 기반 규칙이 제공하는 가시성 기능은 무엇입니까?

속도 기반 규칙은 현재 일반 AWS WAF 규칙에서 제공하는 모든 가시성 기능을 지원합니다. 이와 더불어 속도 기반 규칙에 따라 차단된 IP 주소에 대한 가시성을 확보할 수 있습니다.

속도 기반 규칙을 사용하여 내 웹 페이지의 특정 부분에 대한 액세스를 제한할 수 있습니까?

예. 다음은 그 예입니다. 웹 사이트의 로그인 페이지에 대한 요청을 제공하고자 한다고 가정해 보겠습니다. 이를 수행하기 위해서는 다음 문자열 일치 조건을 속도 기반 규칙에 추가할 수 있습니다.

• 필터링하려는 요청 부분은 "URI"입니다.
  
• 일치 유형은 “Starts with”입니다.
  
• 일치해야 하는 값은 “/login”입니다(웹 요청의 URI 부분에서 로그인 페이지를 식별하는 데 필요한 것이 되어야 함).
  

추가로 속도 제한을 5분당 요청 15,000개로 지정할 수 있습니다. 이 속도 기반 규칙을 웹 ACL에 추가하면 사이트의 나머지 부분에 영향을 주지 않고 IP 주소별로 로그인 페이지에 대한 요청이 제한됩니다.

트래픽이 많은 특정 소스 IP 범위가 내 속도 기반 규칙에 따라 차단되지 않도록 할 수 있습니까?

예. 속도 기반 규칙 내에 해당 요청을 허용하는 별도의 IP 일치 조건을 설정하면 됩니다.

AWS의 GeoIP 데이터베이스는 얼마나 정확합니까?

국가/지역 검색 데이터베이스의 IP 주소 정확도는 지역에 따라 다릅니다. 최근에 진행한 테스트에 따르면 국가/지역 매핑에 대한 IP 주소의 전반적인 정확도는 99.8%입니다. 

AWS WAF의 관리형 규칙이란 무엇입니까?

관리형 규칙은 사전 구성된 규칙을 배포하여 OWASP, 봇 또는 CVE(일반적인 취약성 및 노출도) 등의 애플리케이션 취약성과 같은 일반적인 위협을 쉽게 보호할 수 있는 방법입니다. AWS WAF용 AWS 관리형 규칙은 AWS에서 관리하는 반면, AWS Marketplace의 관리형 규칙은 타사 보안 판매업체에서 관리합니다.

AWS Marketplace를 통해 관리형 규칙을 구독하려면 어떻게 해야 합니까?

AWS WAF 콘솔 또는 AWS Marketplace에서 Marketplace 보안 판매업체가 제공하는 관리형 규칙을 구독할 수 있습니다. 구독하는 모든 관리형 규칙은 AWS WAF 웹 ACL에 추가할 수 있습니다.

기존 AWS WAF 규칙과 관리형 규칙을 함께 사용할 수 있습니까?

예, 관리형 규칙을 사용자 지정 AWS WAF 규칙과 함께 사용할 수 있습니다. 이미 자체 규칙이 추가되어 있는 기존 AWS WAF 웹 ACL에 관리형 규칙을 추가할 수 있습니다.

관리형 규칙은 규칙 수에 대한 기존 AWS WAF 한도에 포함됩니까?

관리형 규칙 내의 규칙 수는 AWS WAF 한도에 포함되지 않습니다. 하지만 웹 ACL에 추가된 각 관리형 규칙은 1개 규칙으로 계산됩니다.

관리형 규칙을 비활성화하려면 어떻게 해야 합니까?

언제든지 웹 ACL에 관리형 규칙을 추가하거나 웹 ACL에서 제거할 수 있습니다. 관리형 규칙은 웹 ACL에서 관리형 규칙의 연결을 해제하면 비활성화됩니다.

관리형 규칙을 테스트하려면 어떻게 해야 합니까?

AWS WAF를 사용하면 관리형 규칙에 대한 "계산" 작업을 구성할 수 있습니다. 이 작업은 관리형 규칙 내의 규칙과 일치하는 웹 요청 수를 계산합니다. 계수된 웹 요청 수를 확인하여 관리형 규칙을 활성화하는 경우 차단될 웹 요청 수를 예측할 수 있습니다.

사용자 지정 오류 페이지를 구성할 수 있습니까?

예. 요청이 차단되었을 때 사용자 지정 오류 페이지가 표시되도록 CloudFront를 구성할 수 있습니다. 자세한 내용은 CloudFront 개발자 안내서를 참조하십시오.

AWS WAF가 내 규칙을 전파하는 데 얼마나 걸립니까?

초기 설정 후에 규칙을 추가 또는 변경하면 전 세계로 전파되기까지 일반적으로 약 1분이 소요됩니다.

규칙이 제대로 작동하는지 확인하려면 어떻게 해야 합니까?

AWS WAF에는 웹 사이트가 어떻게 보호되고 있는지 확인할 수 있는 2가지 방법이 있습니다. CloudWatch에서 제공하는 1분 지표와 AWS WAF API 또는 관리 콘솔에서 제공하는 샘플링된 웹 요청을 확인하면 됩니다. 이를 통해 차단, 허용 또는 계수된 요청이 무엇인지 그리고 해당 요청과 일치하는 규칙은 무엇인지 볼 수 있습니다(예: 이 웹 요청은 IP 주소 조건으로 인해 차단되었습니다). 자세한 내용은 AWS WAF 개발자 안내서를 참조하십시오.

내 규칙을 테스트하려면 어떻게 해야 합니까?

AWS WAF에서는 규칙 조건에 맞는 웹 요청 수를 세는 작업인 규칙에 대한 "계수" 작업을 구성할 수 있습니다. 계수된 웹 요청 수를 확인하여 해당 규칙을 활성화하는 경우 차단 또는 허용될 웹 요청 수를 예측할 수 있습니다.

실시간 지표와 표본 웹 요청은 얼마 동안 저장됩니까?

실시간 지표는 Amazon CloudWatch에 저장됩니다. 따라서 Amazon CloudWatch를 사용하여 이벤트를 종료할 기간을 설정할 수 있습니다. 표본 웹 요청은 최대 3시간 동안 보관됩니다.

AWS WAF에서 HTTPS 트래픽을 검사할 수 있습니까?

예. AWS WAF는 애플리케이션 보호를 지원하며, HTTP 또는 HTTPS를 통해 전송되는 웹 요청을 검사할 수 있습니다.

계정 탈취 방지란 무엇인가요?

계정 탈취 방지(ATP)는 손상된 자격 증명을 이용하여 사용자 계정에 무단으로 액세스하는 것을 감지하기 위해 애플리케이션의 로그인 페이지에 대한 트래픽을 모니터링하는 관리형 규칙 그룹입니다. ATP를 사용하여 자격 증명 스터핑 공격, 무차별 대입 로그인 시도 및 기타 비정상적인 로그인 활동을 방지할 수 있습니다. 애플리케이션에 대한 로그인 시도가 이루어지면 ATP는 제출된 사용자 이름 및 암호가 웹의 다른 곳에서 손상되었는지 여부를 실시간으로 확인합니다. 악의적인 사용자가 수행하는 비정상적인 로그인 시도를 확인하는 ATP는 오랜 시간에 걸쳐 관찰되는 요청의 상관관계를 파악하여 무차별 대입 시도 및 자격 증명 스터핑 공격을 감지하고 완화하도록 지원합니다. 또한 ATP는 애플리케이션에 통합할 수 있는 선택적 JavaScript 및 iOS/Android SDK를 제공하여 애플리케이션에 로그인을 시도하는 사용자 디바이스에 대한 추가 원격 측정 기능을 제공함으로써 봇의 자동화된 로그인 시도로부터 애플리케이션을 효과적으로 보호하도록 지원합니다.

계정 탈취 방지는 검사 중인 자격 증명을 어떻게 보호하나요?

사용자 디바이스와 애플리케이션 간의 트래픽은 Amazon CloudFront, Application Load Balancer, Amazon API Gateway 또는 AWS AppSync와 같이 애플리케이션 전면에 사용되는 AWS 서비스에 대해 구성하는 SSL/TLS 프로토콜로 보호됩니다. 사용자 자격 증명이 AWS WAF에 도달하면 AWS WAF는 자격 증명을 검사한 다음, 이를 즉시 해시 및 폐기하며, 자격 증명은 AWS 네트워크를 떠나지 않습니다. 애플리케이션에 사용하는 AWS 서비스와 AWS WAF 간의 모든 통신은 전송 중 및 저장 시 암호화됩니다.

계정 탈취 방지는 Bot Control과 어떻게 비교할 수 있나요?

Bot Control은 리소스를 소비하고 지표를 왜곡하며 가동 중단을 초래하고 기타 원하지 않는 활동을 수행할 수 있는 일반적이고 널리 퍼진 봇 트래픽에 대한 가시성 및 제어를 제공합니다. Bot Control은 알려진 봇 서명에 대해 다양한 헤더 필드 및 요청 속성을 확인하여 스크레이퍼, 스캐너 및 크롤러와 같은 자동화된 봇을 감지하고 분류합니다.

계정 탈취 방지(ATP)는 손상된 자격 증명을 이용하는 악의적인 사용자의 비정상적인 로그인 시도에 대한 가시성 및 제어를 제공하여 사기 활동으로 이어질 수 있는 무단 액세스를 방지하도록 지원합니다. ATP는 애플리케이션의 로그인 페이지를 보호하는 데 사용됩니다.

Bot Control 및 ATP를 서로 독립적으로 사용하거나 함께 사용할 수 있습니다. Bot Control 관리형 규칙 그룹과 마찬가지로 ATP의 기본 규칙 작업을 사용하여 일치 요청을 차단하거나 AWS WAF 완화 기능을 사용하여 ATP 동작을 사용자 지정할 수 있습니다.

계정 탈취 방지 및 AWS WAF를 시작하려면 어떻게 해야 하나요?

AWS WAF 콘솔에서 새 웹 ACL을 생성하거나 AWS WAF를 이미 사용 중인 경우 기존 웹 ACL을 수정합니다. 마법사를 사용하면 보호하려는 리소스 및 추가할 규칙과 같은 기본 설정을 구성하는 데 도움을 받을 수 있습니다. 규칙을 추가하라는 메시지가 표시되면 관리형 규칙 추가를 선택한 다음, 관리형 규칙 목록에서 Account Creation Fraud Prevention을 선택합니다. ATP를 구성하려면 애플리케이션의 로그인 페이지 URL을 입력하고 요청 본문 내에서 사용자 이름 및 암호 양식 필드가 있는 위치를 표시합니다.

JavaScript SDK 또는 Mobile SDK는 어떤 이점을 제공하나요?

JavaScript 및 Mobile SDK는 애플리케이션에 로그인을 시도하는 사용자 디바이스에 대한 추가 원격 측정 기능을 제공함으로써 봇의 자동화된 로그인 시도로부터 애플리케이션을 효과적으로 보호하도록 지원합니다. SDK 중 하나를 사용할 필요는 없지만, 추가 보호를 위해 사용하는 것이 좋습니다.

계정 탈취 방지의 기본 동작을 사용자 지정하려면 어떻게 해야 하나요?

ATP는 사용자의 자격 증명이 손상되었다고 판단하면 일치 항목을 나타내는 레이블을 생성합니다. 기본적으로 AWS WAF는 악의적이거나 비정상적인 것으로 확인된 로그인 시도(예: 비정상적인 수준의 로그인 시도 실패, 반복 위반자, 봇의 로그인 시도)를 자동으로 차단합니다. 레이블에 따라 수행하는 AWS WAF 규칙을 작성하여 AWS WAF가 일치 항목에 대응하는 방식을 변경할 수 있습니다.