자동 애플리케이션 계층 DDoS 완화 사용 모범 사례 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동 애플리케이션 계층 DDoS 완화 사용 모범 사례

자동 완화를 사용할 때는 이 섹션에 제공된 지침을 준수하세요.

일반 보호 및 관리

자동 완화 보호를 계획하고 구현하려면 다음 지침을 따르십시오.

  • Shield Advanced를 통해 또는 AWS Firewall Manager 를 사용하여 Shield Advanced 자동 완화 설정을 관리하는 경우 Firewall Manager를 통해 모든 자동 완화 보호를 관리합니다. Shield Advanced와 Firewall Manager를 혼용하여 이러한 보호 기능을 관리하지 마십시오.

  • 동일한 웹 ACLs 및 보호 설정을 사용하여 유사한 리소스를 관리하고 다른 웹 을 사용하여 다른 리소스를 관리합니다ACLs. Shield Advanced가 보호된 리소스에 대한 DDoS 공격을 완화하면 리소스와 ACL 연결된 웹에 대한 규칙을 정의한 다음 웹과 연결된 모든 리소스의 트래픽에 대해 규칙을 테스트합니다ACL. Shield Advanced는 관련 리소스에 부정적인 영향을 미치지 않는 경우에만 규칙을 적용합니다. 자세한 내용은 Shield Advanced가 자동 완화를 관리하는 방법 단원을 참조하십시오.

  • Amazon CloudFront 배포를 통해 모든 인터넷 트래픽이 프록시되는 Application Load Balancer의 CloudFront 경우 배포에 대한 자동 완화만 활성화합니다. CloudFront 배포에는 항상 Shield Advanced가 공격을 완화하는 데 활용하는 원래 트래픽 속성의 수가 가장 많습니다.

탐지 및 완화 최적화

다음 지침에 따라 자동 완화가 보호된 리소스에 제공하는 보호를 최적화합니다. 애플리케이션 계층 감지 및 완화에 대한 개요는 섹션을 참조하세요Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록.

  • 보호된 리소스에 대한 상태 확인을 구성하고 이를 사용하여 Shield Advanced 보호에서 상태 기반 감지를 활성화합니다. 자세한 지침은 Shield Advanced 및 Route 53을 사용한 상태 확인을 사용한 상태 기반 감지을 참조하세요.

  • 에서 자동 완화 활성화 Count 모드는 Shield Advanced가 정상적이고 기록적인 트래픽에 대한 기준을 설정할 때까지 유지됩니다. Shield Advanced는 기준을 설정하는 데 24시간에서 30일까지 필요합니다.

    정상 트래픽 패턴의 기준을 설정하려면 다음이 필요합니다.

    • 웹ACL과 보호된 리소스의 연결입니다. 를 사용하여 웹을 AWS WAF 직접 연결ACL하거나 Shield Advanced 애플리케이션 계층 보호를 활성화하고 사용할 웹을 지정할 때 Shield Advanced가 웹을 연결하도록 ACL할 수 있습니다.

    • 보호된 애플리케이션으로의 정상적인 트래픽 흐름입니다. 애플리케이션이 시작되기 전과 같이 애플리케이션이 정상적인 트래픽을 경험하지 않거나 장기간 프로덕션 트래픽이 부족한 경우 기록 데이터를 수집할 수 없습니다.

웹 ACL 관리

다음 지침에 따라 자동 완화와 함께 ACLs 사용하는 웹을 관리합니다.

  • 보호된 리소스와 연결된 웹을 교체해야 ACL 하는 경우 다음 순서를 변경합니다.

    1. Shield Advanced에서 자동 완화를 비활성화합니다.

    2. 에서 이전 웹의 연결을 AWS WAF해제ACL하고 새 웹을 연결합니다ACL.

    3. Shield Advanced에서 자동 완화를 활성화합니다.

    Shield Advanced는 이전 웹에서 새 웹ACL으로 자동 완화를 자동으로 전송하지 않습니다.

  • ACLs 이름이 로 시작하는 웹에서 규칙 그룹 규칙을 삭제하지 마세요ShieldMitigationRuleGroup. 이 규칙 그룹을 삭제하면 웹 과 연결된 모든 리소스에 대해 Shield Advanced 자동 완화에서 제공하는 보호를 비활성화합니다ACL. 또한 Shield Advanced가 변경 알림을 받고 설정을 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 이 기간 동안에는 Shield Advanced 콘솔 페이지에 올바르지 않은 정보가 표시됩니다.

    규칙 그룹에 대한 자세한 내용은 Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호 섹션을 참조하세요.

  • 명칭이 ShieldMitigationRuleGroup으로 시작하는 규칙 그룹 규칙의 명칭은 수정하지 마세요. 이렇게 하면 웹을 통한 Shield Advanced 자동 완화에서 제공하는 보호 기능이 방해를 받을 수 있습니다ACL.

  • 규칙과 규칙 그룹을 생성할 때는 ShieldMitigationRuleGroup으로 시작하는 명칭을 사용하지 마세요. 이 문자열은 Shield Advanced에서 자동 완화 기능을 관리하는 데 사용됩니다.

  • 웹 ACL 규칙 관리에서 우선 순위 설정을 10,000,000으로 지정하지 마세요. Shield Advanced는 자동 완화 규칙 그룹 규칙을 추가할 때 이 우선 순위 설정을 자동 완화 규칙 그룹 규칙에 할당합니다.

  • 웹 의 다른 ShieldMitigationRuleGroup 규칙과 관련하여 규칙이 실행되도록 규칙의 우선 순위를 유지합니다ACL. Shield Advanced는 우선 순위가 10,000,000ACL인 웹에 규칙 그룹 규칙을 추가하여 다른 규칙 이후에 실행됩니다. AWS WAF 콘솔 마법사를 사용하여 웹을 관리하는 경우 ACL웹에 규칙을 추가한 후 필요에 따라 우선 순위 설정을 조정합니다ACL.

  • AWS CloudFormation 를 사용하여 웹을 관리하는 경우 ShieldMitigationRuleGroup 규칙 그룹 규칙을 관리할 필요가 ACLs없습니다. 자동 애플리케이션 계층 DDoS 완화와 AWS CloudFormation 함께 사용의 지침을 따르십시오.