자동 완화 기능 사용 시 경고 사항

자동 애플리케이션 레이어 DDoS 완화는 최신 버전 AWS WAF (v2) 을 사용하여 만든 웹 ACL에서만 작동합니다.

Shield Advanced는 애플리케이션의 정상 및 기록 트래픽의 기준을 설정하는 데 시간이 필요합니다. 이 기준을 활용하여 공격 트래픽을 탐지하고 정상 트래픽과 분리하여 공격 트래픽을 완화합니다. 기준을 설정하는 데 걸리는 시간은 웹 ACL을 보호된 애플리케이션 리소스에 연결한 시점으로부터 24시간에서 30일 사이입니다. 트래픽 기준에 대한 추가 정보는 을 참조하십시오. 감지 및 완화

자동 애플리케이션 레이어 DDoS 완화를 활성화하면 150개의 웹 ACL 용량 단위 (WCU) 를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 웹 ACL의 WCU 사용량에 포함됩니다. 자세한 정보는 Shield Advanced 규칙 그룹 및 웹 ACL 용량 단위 (WCUs) 에 대한 이해 AWS WAF 섹션을 참조하세요.

Shield Advanced 규칙 그룹은 AWS WAF 지표를 생성하지만 볼 수는 없습니다. 이는 웹 ACL에서 사용하지만 소유하지 않는 다른 규칙 그룹 (예: AWS 관리형 규칙 그룹) 의 경우와 동일합니다. AWS WAF 지표에 대한 자세한 내용은 을 참조하십시오AWS WAF 측정항목 및 측정기준. 이 Shield Advanced 보호 옵션에 대한 자세한 내용은 을 참조하십시오Shield Advanced 자동 애플리케이션 계층 DDoS 완화.

여러 리소스를 보호하는 웹 ACL의 경우 자동 완화 기능은 보호된 리소스에 부정적인 영향을 미치지 않는 사용자 지정 완화 기능만 배포합니다.

DDoS 공격이 시작된 시점부터 Shield Advanced가 사용자 지정 자동 완화 규칙을 적용하는 시점까지의 시간은 각 이벤트에 따라 다릅니다. 일부 DDoS 공격은 사용자 지정 규칙이 배포되기 전에 종료될 수 있습니다. 완화 조치가 이미 마련되어 있을 때 다른 공격이 발생할 수 있으며, 따라서 이벤트 시작부터 이러한 규칙에 의해 완화될 수 있습니다. 또한 웹 ACL 및 Shield Advanced 규칙 그룹의 속도 기반 규칙은 공격 트래픽이 가능한 이벤트로 탐지되기 전에 이를 완화할 수 있습니다.

CloudFrontAmazon과 같은 CDN (콘텐츠 전송 네트워크) 을 통해 트래픽을 수신하는 애플리케이션 로드 밸런서의 경우, 해당 Application Load Balancer 리소스에 대한 Shield Advanced의 애플리케이션 계층 자동 완화 기능이 감소합니다. Shield Advanced는 클라이언트 트래픽 속성을 사용하여 애플리케이션으로 들어오는 일반 트래픽으로부터 공격 트래픽을 식별하고 분리하며, CDN은 원래 클라이언트 트래픽 속성을 보존하거나 전달하지 않을 수 있습니다. 를 사용하는 CloudFront 경우 배포 시 자동 완화 기능을 활성화하는 것이 좋습니다. CloudFront

자동 애플리케이션 계층 DDoS 완화는 보호 그룹과 상호 작용하지 않습니다. 보호 그룹에 있는 리소스에 대해 자동 완화를 활성화할 수 있지만 Shield Advanced는 보호 그룹 결과에 근거하여 공격 완화를 자동으로 적용하지 않습니다. Shield Advanced는 개별 리소스에 대한 자동 공격 완화 기능을 적용합니다.