CloudFront 및 Route 53에 대한 AWS Shield 완화 로직
이 페이지에서는 Shield DDoS 완화 기능은 CloudFront와 Route 53의 트래픽을 지속적으로 검사하는 방법을 설명합니다. 이러한 서비스는 전 세계에 분산된 AWS 엣지 로케이션 네트워크에서 운영되므로 Shield의 DDoS 완화 기능에 광범위하게 액세스할 수 있고 최종 사용자에게 더 가까운 인프라에서 애플리케이션을 제공할 수 있습니다.
-
CloudFront — Shield DDoS 완화 기능은 웹 애플리케이션에 유효한 트래픽만 서비스로 전달하도록 허용합니다. 이를 통해 UDP 반사 공격과 같은 여러 일반적인 DDoS 벡터로부터 자동으로 보호됩니다.
CloudFront는 애플리케이션 오리진에 대한 지속적인 연결을 유지하고, Shield TCP SYN 프록시 기능과의 통합을 통해 TCP SYN flood를 자동으로 완화하며 엣지에서 전송 계층 보안(TLS)을 종료합니다. 이러한 결합 특성을 통해 애플리케이션 오리진은 올바른 형식의 웹 요청만 수신하고 하위 계층 DDoS 공격, 연결 flood 및 TLS 남용으로부터 보호됩니다.
CloudFront는 DNS 트래픽 방향과 애니캐스트 라우팅을 함께 사용합니다. 이러한 기술은 소스에 가까운 공격을 완화하고, 장애를 격리하고, 알려진 최대 규모의 공격을 완화할 수 있는 용량에 대한 액세스를 보장함으로써 애플리케이션의 복원력을 개선합니다.
-
Route 53 — Shield 완화 기능은 유효한 DNS 요청만 서비스에 도달하도록 허용합니다. Shield는 알려진 양호한 쿼리의 우선 순위를 지정하고 의심스럽거나 알려진 DDoS 공격 속성이 포함된 쿼리의 우선 순위를 낮추는 의심 점수를 사용하여 DNS 쿼리 flood를 완화합니다.
Route 53은 셔플 샤딩을 사용하여 IPv4와 IPv6 모두에 대해 모든 호스팅 영역에 4개의 리졸버 IP 주소로 구성된 고유한 세트를 제공합니다. 각 IP 주소는 Route 53 위치의 다른 하위 집합에 해당합니다. 각 위치 하위 집합은 다른 하위 집합의 인프라와 부분적으로만 겹치는 신뢰할 수 있는 DNS 서버로 구성됩니다. 이렇게 하면 사용자 쿼리가 실패한 이유가 무엇이든 재시도 시 성공적으로 처리됩니다.
Route 53은 애니캐스트 라우팅을 사용하여 네트워크 근접성을 기반으로 DNS 쿼리를 가장 가까운 엣지 로케이션에 전달합니다. 또한 애니캐스트는 DDoS 트래픽을 여러 엣지 로케이션으로 전송하여 공격이 단일 위치에 집중되는 것을 방지합니다.
CloudFront와 Route 53은 완화 속도 외에도 전 세계에 분산된 Shield의 용량에 대한 광범위한 액세스를 제공합니다. 이러한 기능을 활용하려면 이러한 서비스를 동적 또는 정적 웹 애플리케이션의 진입점으로 사용하십시오.
CloudFront와 Route 53을 사용하여 웹 애플리케이션을 보호하는 방법에 대해 자세히 알아보려면 Amazon CloudFront와 Amazon Route 53을 사용하여 DDoS 공격으로부터 동적 웹 애플리케이션을 보호하는 방법