감지 및 완화

이 섹션에서는 Shield Advanced의 애플리케이션 계층 이벤트 탐지 및 완화에 영향을 미치는 요인을 설명합니다.

상태 확인

애플리케이션의 전반적인 상태를 정확하게 보고하는 상태 점검은 Shield Advanced에 애플리케이션이 겪고 있는 트래픽 상황에 대한 정보를 제공합니다. Shield Advanced는 애플리케이션이 비정상이라고 보고할 때 잠재적 공격을 가리키는 정보가 덜 필요하고 애플리케이션이 정상이라고 보고하는 경우 공격의 증거가 더 많이 필요합니다.

애플리케이션 상태를 정확하게 보고하도록 상태 점검을 구성하는 것이 중요합니다. 자세한 정보 및 지침은 상태 점검을 사용한 상태 기반 탐지(을)를 참조하세요.

트래픽 베이스라인

트래픽 베이스라인은 Shield Advanced에 애플리케이션의 정상 트래픽 특성에 대한 정보를 제공합니다. Shield Advanced는 이러한 기준을 사용하여 애플리케이션이 정상적인 트래픽을 수신하지 않을 때를 인식하므로 사용자에게 이를 알리고 구성에 따라 잠재적 공격에 대응하기 위한 완화 옵션을 고안하고 테스트할 수 있습니다. Shield Advanced가 트래픽 기준을 사용하여 잠재적 이벤트를 탐지하는 방법에 대한 추가 정보는 개요 섹션을 참조하십시오. 애플리케이션 계층 위협에 대한 감지 로직

Shield Advanced는 보호된 리소스와 관련된 웹 ACL에서 제공하는 정보를 바탕으로 기준을 생성합니다. Shield Advanced가 애플리케이션의 기준을 안정적으로 결정할 수 있으려면 웹 ACL을 최소 24시간에서 최대 30일 동안 리소스에 연결해야 합니다. 필요한 시간은 Shield Advanced를 통해 또는 Shield Advanced를 통해 웹 ACL을 연결할 때 시작됩니다. AWS WAF

Shield Advanced 애플리케이션 계층 보호와 함께 웹 ACL을 사용하는 방법에 대한 자세한 내용은 을 참조하십시오. Shield Advanced 애플리케이션 레이어 AWS WAF 웹 ACLs 및 요금 기반 규칙

속도 기반 규칙

속도 기반 규칙은 공격을 완화하는 데 도움이 될 수 있습니다. 또한 정상적인 트래픽 기준이나 상태 점검 상태 보고에 나타날 정도로 큰 문제가 발생하기 전에 공격을 방어하여 공격을 모호하게 만들 수 있습니다.

Shield Advanced로 애플리케이션 리소스를 보호할 때는 웹 ACL에서 속도 기반 규칙을 사용하는 것이 좋습니다. 방어 기능이 잠재적 공격을 가릴 수 있기는 하지만 합법적 고객이 애플리케이션을 계속 사용할 수 있도록 하는 데 도움이 되는 중요한 1차 방어선입니다. 속도 기반 규칙이 탐지한 트래픽과 속도 제한은 지표에서 확인할 수 있습니다. AWS WAF

자체 속도 기반 규칙 외에도 자동 애플리케이션 레이어 DDoS 완화를 활성화하면 Shield Advanced는 공격을 완화하는 데 사용하는 규칙 그룹을 웹 ACL에 추가합니다. 이 규칙 그룹에서 Shield Advanced는 항상 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한하는 속도 기반 규칙을 적용합니다. Shield Advanced 규칙이 완화하는 트래픽에 대한 지표는 확인할 수 없습니다.

요금 기반 규칙에 대한 자세한 내용은 을 참조하십시오. 비율 기반 규칙 문 Shield Advanced가 자동 애플리케이션 계층 DDoS 완화에 사용하는 속도 기반 규칙에 대한 자세한 내용은 을 참조하십시오. Shield Advanced 규칙 그룹

Shield Advanced와 AWS WAF 지표에 대한 자세한 내용은 을 참조하십시오아마존을 통한 모니터링 CloudWatch.