Shield Advanced를 사용한 애플리케이션 계층 DDoS 완화 자동화

자동 애플리케이션 계층 DDoS 완화는 ( AWS WAF v2) 최신 버전을 사용하여 ACLs 생성된 웹에서만 작동합니다.

Shield Advanced는 애플리케이션의 정상적이고 과거 트래픽의 기준을 설정하는 데 시간이 필요하며, 이를 활용하여 정상 트래픽에서 공격 트래픽을 탐지하고 격리하여 공격 트래픽을 완화합니다. 기준 설정 시간은 웹을 보호된 애플리케이션 리소스ACL와 연결한 시간으로부터 24시간에서 30일 사이입니다. 트래픽 기준에 대한 자세한 내용은 섹션을 참조하세요Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록.

자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 웹 ACL 용량 단위()ACL를 사용하는 규칙 그룹이 웹에 추가됩니다WCUs. 웹의 WCU 사용량에 대해 WCUs 계산됩니다ACL. 자세한 정보는 Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호 및 웹 ACL 용량 단위 (WCUs) 에 대한 이해 AWS WAF 섹션을 참조하세요.

Shield Advanced 규칙 그룹은 AWS WAF 지표를 생성하지만 볼 수는 없습니다. 이는 AWS 관리형 규칙 규칙 그룹과 같이 웹에서 사용ACL하지만 소유하지 않는 다른 규칙 그룹의 경우와 동일합니다. AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요AWS WAF 측정항목 및 측정기준. 이 Shield 고급 보호 옵션에 대한 자세한 내용은 섹션을 참조하세요Shield Advanced를 사용한 애플리케이션 계층 DDoS 완화 자동화 .

여러 리소스를 ACLs 보호하는 웹의 경우 자동 완화는 보호된 리소스에 부정적인 영향을 미치지 않는 사용자 지정 완화만 배포합니다.

DDoS 공격 시작과 Shield Advanced가 사용자 지정 자동 완화 규칙을 배치하는 시점 사이의 시간은 이벤트마다 다릅니다. 사용자 지정 규칙이 배포되기 전에 일부 DDoS 공격이 종료될 수 있습니다. 완화 조치가 이미 마련되어 있을 때 다른 공격이 발생할 수 있으며, 따라서 이벤트 시작부터 이러한 규칙에 의해 완화될 수 있습니다. 또한 웹 ACL 및 Shield Advanced 규칙 그룹의 속도 기반 규칙은 가능한 이벤트로 감지되기 전에 공격 트래픽을 완화할 수 있습니다.

Amazon 과 같은 콘텐츠 전송 네트워크(CDN)를 통해 트래픽을 수신하는 Application Load Balancer의 경우 CloudFront해당 Application Load Balancer 리소스에 대한 Shield Advanced의 애플리케이션 계층 자동 완화 기능이 감소합니다. Shield Advanced는 클라이언트 트래픽 속성을 사용하여 애플리케이션으로의 정상 트래픽에서 공격 트래픽을 식별하고 격리하며 원래 클라이언트 트래픽 속성을 보존하거나 전달하지 않을 CDNs 수 있습니다. 를 사용하는 경우 CloudFront 배포에서 자동 완화를 활성화하는 CloudFront것이 좋습니다.

자동 애플리케이션 계층 DDoS 완화는 보호 그룹과 상호 작용하지 않습니다. 보호 그룹에 있는 리소스에 대해 자동 완화를 활성화할 수 있지만 Shield Advanced는 보호 그룹 결과에 근거하여 공격 완화를 자동으로 적용하지 않습니다. Shield Advanced는 개별 리소스에 대한 자동 공격 완화 기능을 적용합니다.