자습서
고객이 AWS WAF를 사용하는 방법 중 하나는 웹 로그를 분석하고 악성 요청을 식별하며 자동으로 보안 규칙을 업데이트할 수 있는 AWS Lambda를 사용하여 보안을 자동화하는 것입니다. 다음 자습서는 AWS CloudFormation을 사용하여 AWS WAF를 구성하는 개별 단계를 대신 처리해 주며 웹 애플리케이션 보호에 도움이 되는 Lambda 스크립트를 포함하고 있습니다.
사전 구성된 보호
AWS의 사전 구성된 템플릿을 사용하면 빠르게 AWS WAF를 시작할 수 있습니다. 템플릿은 일반적인 웹 기반 공격을 차단하도록 설계된 일련의 AWS WAF 규칙을 포함하고 있으며 이러한 규칙은 고객의 요구에 맞도록 사용자 정의될 수 있습니다. 이러한 규칙은 악성 봇, SQL 주입, 사이트 간 스크립팅(XSS), HTTP 플러드 및 알려진 공격자의 공격을 차단하는 데 도움이 됩니다. 템플릿이 일단 배포되면 AWS WAF에서 고객의 CloudFront 배포에 대한 웹 요청 중 웹 액세스 제어 목록(웹 ACL)에 사전 정의된 규칙과 일치하는 요청을 차단하기 시작합니다. 이 자동화된 솔루션은 고객이 구성한 다른 웹 ACL 외에 추가로 사용할 수 있습니다.
요청 한도를 초과하는 IP 주소 차단
고객이 직면하는 보안 당면 과제 중 하나는 일반적으로 HTTP 플러드라고 불리는 분산 서비스 거부(DDoS) 공격에 영향을 받는 웹 서버를 어떻게 보호하는가 하는 것입니다. 이 자습서에서는 정의된 임계값을 촤과하는 요청을 전송하는 IP를 식별할 수 있는 솔루션을 프로비저닝하고 AWS WAF 규칙이 이러한 IP 주소에서 오는 후속 요청을 자동 차단하도록 업데이트해 봅니다.
잘못된 요청을 제출하는 IP 주소 차단
인터넷 측 웹 애플리케이션은 다양한 소스의 의해 수시로 스캔되며 고객이 직접 관리하는 경우 외에는 소스가 좋은 의도를 가지고 있다고 가정할 수 없습니다. 취약성을 찾기 위해 이러한 스캔은 HTTP 4xx 오류 코드를 생성하는 일련의 요청을 전송하고 고객은 이를 사용하여 취약성을 식별 및 차단하게 됩니다. 이 자습서에서는 CloudFront 액세스 로그를 자동으로 구문 해석하고, 고유한 소스(IP 주소)에서 오는 잘못된 요청의 수를 계산하며, 해당 IP의 후속 스캔을 차단하도록 AWS WAF를 업데이트하는 Lambda 함수를 생성합니다.
악성 IP 블랙리스트를 사용한 웹 공격 차단
AWS WAF는 스패머, 맬웨어 배포자 및 봇넷 등 악성 공격자가 운영하는 것으로 알려진 IP 주소에서 온 취약성 공격으로부터 웹 애플리케이션을 보호할 수 있습니다. 이 자습서에서는 AWS WAF 규칙을 평판 목록과 동기화하여 웹 공격에 사용되는 유동적인 IP 주소 목록을 차단하고 주소를 전환하고 탐지 회피를 시도하는 악성 공격자를 계속 추적하는 방법을 알아봅니다.
추가 리소스
더 많은 AWS WAF 리소스를 살펴보십시오