Shield Advanced가 자동 완화를 관리하는 방법 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced
자동 완화 기능을 활성화하면DDoS 공격시Shield Advanced가 작업 설정을 관리하는 방법공격이 감소하는 경우자동 완화 기능을 비활성화하면

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Shield Advanced가 자동 완화를 관리하는 방법

섹션의 주제에서는 Shield Advanced가 자동 애플리케이션 계층 DDoS 완화를 위한 구성 변경을 처리하는 방법과 자동 완화가 활성화된 경우, DDoS 공격을 처리하는 방법을 설명합니다.

자동 완화 기능을 활성화하면 발생하는 상황

Shield Advanced는 자동 완화 기능을 활성화하면 다음과 같은 작업을 수행합니다.

  • 필요에 따라 Shield Advanced 사용을 위한 규칙 그룹 추가 - 리소스에 연결한 AWS WAF 웹 ACL에 자동 애플리케이션 계층 DDoS 완화 전용 AWS WAF 규칙 그룹 규칙이 아직 없는 경우 Shield Advanced가 규칙을 추가합니다.

    규칙 그룹 규칙의 명칭은 ShieldMitigationRuleGroup으로 시작합니다. 규칙 그룹에는 ShieldKnownOffenderIPRateBasedRule으로 명명된 속도 기반 규칙이 항상 포함되어 있으며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다. Shield Advanced 규칙 그룹 및 이를 참조하는 웹 ACL 규칙에 대한 자세한 설명은 Shield Advanced 규칙 그룹을 참조하세요.

  • 리소스에 대한 DDoS 공격 대응 시작 - Shield Advanced는 보호된 리소스에 대한 DDoS 공격에 자동으로 대응합니다. Shield Advanced는 항상 존재하는 속도 기반 규칙 외에도 해당 규칙 그룹을 사용하여 DDoS 공격 완화를 위한 사용자 지정 AWS WAF 규칙을 배포합니다. Shield Advanced는 이러한 규칙을 애플리케이션과 애플리케이션에서 발생하는 공격에 맞게 조정하고 배포하기 전에 리소스의 과거 트래픽에 대해 테스트합니다.

Shield Advanced는 자동 완화에 사용하는 모든 웹 ACL에서 단일 규칙 그룹 규칙을 사용합니다. Shield Advanced가 다른 보호 리소스에 대한 규칙 그룹을 이미 추가한 경우 웹 ACL에 다른 규칙 그룹을 추가하지 않습니다.

자동 애플리케이션 계층 DDoS 완화는 공격을 완화하기 위한 규칙 그룹의 존재 여부에 따라 달라집니다. 어떤 이유로든 규칙 그룹이 AWS WAF 웹 ACL에서 제거되는 경우 제거를 통해 웹 ACL과 연결된 모든 리소스에 대한 자동 완화 기능이 비활성화됩니다.

Shield Advanced가 자동 방어 기능을 통해 DDoS 공격에 대응하는 방법

보호된 리소스에 자동 완화를 사용하도록 설정하면 Shield Advanced 규칙 그룹의 속도 기반 규칙 ShieldKnownOffenderIPRateBasedRule은(는) 알려진 DDoS 소스로부터 증가하는 트래픽 볼륨에 자동으로 응답합니다. 이 속도 제한은 신속하게 적용되며 공격에 대해 최전선 방어 역할을 합니다.

Shield Advanced는 공격을 탐지하면 다음과 같은 조치를 취합니다.

  1. 애플리케이션으로 향하는 일반 트래픽으로부터 공격 트래픽을 분리하는 공격 시그니처를 식별하려고 시도합니다. 목표는 적용 시 공격 트래픽에만 영향을 미치고 애플리케이션에 대한 일반 트래픽에는 영향을 미치지 않는 고품질 DDoS 완화 규칙을 만드는 것입니다.

  2. 공격을 받고 있는 리소스는 물론 동일한 웹 ACL과 연계된 다른 모든 리소스의 과거 트래픽 패턴을 기준으로 식별된 공격 시그니처를 평가합니다. Shield Advanced는 이벤트에 대한 응답으로 규칙을 배포하기 전에 이 작업을 수행합니다.

    평가 결과에 따라 Shield Advanced는 다음 중 하나를 수행합니다.

    • Shield Advanced는 공격 시그니처가 DDoS 공격과 관련된 트래픽만 격리한다고 판단하면 웹 ACL의 Shield Advanced 완화 AWS WAF 규칙 그룹에 속하는 규칙에 서명을 구현합니다. Shield Advanced는 리소스의 자동 완화를 위해 구성한 작업 설정(Count 또는 Block)을 이러한 규칙에 제공합니다.

    • 그렇지 않으면 Shield Advanced는 완화 조치를 취하지 않습니다.

공격 내내 Shield Advanced는 기본 Shield Advanced 애플리케이션 계층 보호와 동일한 알림을 보내고 동일한 이벤트 정보를 제공합니다. Shield Advanced 이벤트 콘솔에서 이벤트 및 DDoS 공격에 대한 정보와 공격에 대한 Shield Advanced 완화 조치에 대한 정보를 확인할 수 있습니다. 자세한 설명은 DDoS 이벤트에 대한 가시성을 참조하세요.

Block 규칙 동작을 사용하도록 자동 완화를 구성했는데 Shield Advanced가 배포한 완화 규칙에서 오감지가 발생하는 경우, 규칙 조치를 Count로 변경할 수 있습니다. 이를 위한 방법에 관한 정보는 자동 애플리케이션 계층 DDoS 완화에 사용되는 조치 변경 섹션을 참조하세요.

Shield Advanced가 규칙 작업 설정을 관리하는 방법

자동 완화에 대한 규칙 조치를 Block 또는 Count(으)로 설정할 수 있습니다.

보호된 리소스에 대한 자동 완화 규칙 작업 설정을 변경하면 Shield Advanced는 해당 리소스에 대한 모든 규칙 설정을 업데이트합니다. Shield Advanced 규칙 그룹의 리소스에 대해 현재 적용되는 모든 규칙을 업데이트하고 새 규칙을 생성할 때 새 작업 설정을 사용합니다.

동일한 웹 ACL을 사용하는 리소스의 경우 다른 작업을 지정하는 경우 Shield Advanced는 규칙 그룹의 속도 기반 규칙 ShieldKnownOffenderIPRateBasedRule에 대한 Block 작업 설정을 사용합니다. Shield Advanced는 특정 보호 리소스를 대표하여 규칙 그룹에서 다른 규칙을 생성 및 관리하고, 리소스에 대해 지정한 작업 설정을 사용합니다. 웹 ACL의 Shield Advanced 규칙 그룹에 있는 모든 규칙은 모든 관련 리소스의 웹 트래픽에 적용됩니다.

작업 설정 변경 내용이 전파되는 데 몇 초 가량 걸릴 수 있습니다. 이 시간 동안 규칙 그룹이 사용 중인 일부 위치에서는 이전 설정이 표시되고 다른 위치에서는 새 설정이 표시될 수 있습니다.

콘솔의 이벤트 페이지와 애플리케이션 계층 구성 페이지를 통해 자동 완화 구성에 대한 규칙 작업 설정을 변경할 수 있습니다. 이벤트 페이지에 대한 자세한 설명은 DDoS 이벤트에 대한 대응 섹션을 참조하세요. 구성 페이지에 대한 자세한 설명은 애플리케이션 계층 DDoS 보호 구성 섹션을 참조하세요.

공격이 감소할 때 Shield Advanced가 완화 기능을 관리하는 방법

Shield Advanced는 특정 공격에 배포된 완화 규칙이 더 이상 필요하지 않다고 판단되면 Shield Advanced 완화 규칙 그룹에서 해당 완화 규칙을 제거합니다.

완화 규칙이 제거된다고 해서 반드시 공격이 종료되는 시점은 아닙니다. Shield Advanced는 보호된 리소스에서 감지한 공격 패턴을 모니터링합니다. 공격의 초기 발생에 대비하여 배포한 규칙을 그대로 유지함으로써 특정 시그니처를 사용한 공격의 재발을 사전에 방지할 수 있습니다. Shield Advanced는 필요에 따라 규칙을 제자리에 유지하는 시간을 늘립니다. 이렇게 하면 Shield Advanced가 특정 시그니처를 사용한 반복적인 공격이 보호된 리소스에 영향을 미치기 전에 이를 완화할 수 있습니다.

Shield Advanced는 절대 속도 기반 규칙 ShieldKnownOffenderIPRateBasedRule을(를) 제거하지 않으며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다.

자동 완화 기능을 비활성화하면 발생하는 상황

Shield Advanced는 리소스에 대한 자동 완화 기능을 비활성화하면 다음 작업을 수행합니다:

  • DDoS 공격에 대한 자동 대응 중지 - Shield Advanced는 해당 리소스에 대한 자동 대응 활동을 중단합니다.

  • Shield Advanced 규칙 그룹에서 불필요한 규칙 제거 - Shield Advanced가 보호된 리소스를 대신하여 관리형 규칙 그룹의 규칙을 유지 관리하는 경우, 해당 규칙을 제거합니다.

  • 더 이상 사용하지 않는 경우, Shield Advanced 규칙 그룹 제거 - 리소스에 연계한 웹 ACL이 자동 완화가 활성화된 다른 리소스에 연계되지 않은 경우, Shield Advanced는 해당 규칙 그룹 규칙을 웹 ACL에서 제거합니다.