기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직
이 페이지에서는 애플리케이션 계층에서 이벤트 탐지 작동 방법에 관해 설명합니다.
AWS Shield Advanced는 보호되는 Amazon CloudFront 배포 및 Application Load Balancer에 대한 웹 애플리케이션 계층 감지를 제공합니다. Shield Advanced로 이러한 리소스 타입을 보호하는 경우, AWS WAF 웹 ACL을 보호 기능과 연계하여 웹 애플리케이션 계층 감지를 활성화할 수 있습니다. Shield Advanced는 관련 웹 ACL에 대한 요청 데이터를 사용하고 애플리케이션에 대한 트래픽 기준을 구축합니다. 웹 애플리케이션 계층 감지는 Shield Advanced와 AWS WAF 간의 기본 통합에 근거하여 합니다. AWS WAF 웹 ACL을 Shield Advanced 보호 리소스에 연계하는 것을 포함하여 애플리케이션 계층 보호에 대한 자세한 설명은 AWS Shield Advanced 및 AWS WAF를 사용하여 애플리케이션 계층(계층 7) 보호을 참조하세요.
웹 애플리케이션 계층 감지의 경우, Shield Advanced는 애플리케이션 트래픽을 모니터링하고 이를 과거 기준선과 비교하여 이상 징후를 찾습니다. 이 모니터링은 총 볼륨과 트래픽 구성을 다룹니다. DDoS 공격 중에는 트래픽의 양과 구성이 모두 변할 것으로 예상되며, Shield Advanced는 이벤트를 선언하기 위해 두 가지 모두에 통계적으로 유의미한 편차가 있어야 합니다.
Shield Advanced는 과거 시간 창을 기준으로 측정을 수행합니다. 이 접근 방식은 트래픽 볼륨의 합법적인 변동이나 예상 패턴과 일치하는 트래픽 변화(예: 매일 같은 시간에 제공되는 판매)로 인한 오감지 알림을 줄입니다.
참고
Shield Advanced에 정상적이고 합법적인 트래픽 패턴을 표시하는 기준을 설정할 시간을 주어 오감지를 방지하세요. Shield Advanced는 웹 ACL을 보호된 리소스와 연결할 때 기준 정보를 수집하기 시작합니다. 웹 트래픽에 비정상적인 패턴을 유발할 수 있는 계획된 이벤트가 발생하기 최소 24시간 전에 웹 ACL을 보호 대상 리소스와 연계하세요. Shield Advanced 웹 애플리케이션 계층 감지는 30일 동안 정상 트래픽을 관찰했을 때 가장 정확합니다.
Shield Advanced가 이벤트를 감지하는 데 걸리는 시간은 관찰되는 트래픽 양의 변화 정도에 영향을 받습니다. 볼륨 변화가 적은 경우, Shield Advanced는 이벤트가 발생하고 있다는 확신을 주기 위해 더 오랜 기간 동안 트래픽을 관찰합니다. 볼륨 변화가 많은 경우, Shield Advanced는 이벤트를 더 빠르게 감지하고 보고합니다.
웹 ACL의 속도 기반 규칙은 사용자가 추가하든 또는 Shield Advanced 자동 애플리케이션 계층 완화 기능에 추가하든 관계없이 탐지 가능한 수준에 도달하기 전에 공격을 완화할 수 있습니다. 자동 애플리케이션 계층 DDoS 완화에 대한 자세한 내용은 Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화 섹션을 참조하세요.
참고
트래픽 증가나 부하 증가에 대응하여 확장되도록 애플리케이션을 설계하여 요청 플러드 규모가 작아도 영향을 받지 않도록 할 수 있습니다. Shield Advanced를 사용하면 보호된 리소스에 비용 보호가 적용됩니다. 이를 통해 DDoS 공격으로 인해 발생할 수 있는 예상치 못한 클라우드 요금 인상으로부터 보호할 수 있습니다. Shield Advanced 비용 보호에 대한 자세한 설명은 공격 후 AWS Shield Advanced에서 크레딧 요청을 참조하세요.
