AWS Shield이 이벤트를 완화하는 방법

이 페이지에서는 AWS Shield 이벤트 완화의 작동 방식을 소개합니다.

애플리케이션을 보호하는 완화 로직은 애플리케이션 아키텍처에 따라 달라질 수 있습니다. Amazon CloudFront와 Amazon Route 53으로 웹 애플리케이션을 보호하면 웹 및 DNS 사용 사례에만 적용되고 서비스에 대한 모든 트래픽을 보호하는 완화 기능을 활용할 수 있습니다. 애플리케이션의 진입점이 AWS 리전에서 실행되는 리소스인 경우 완화 로직은 서비스, 리소스 유형 및 AWS Shield Advanced 용도에 따라 달라집니다.

AWS DDoS 완화 시스템은 Shield 엔지니어가 개발하며 AWS 서비스와 긴밀하게 통합됩니다. 엔지니어는 대상 리소스의 용량 및 상태와 같은 아키텍처 측면을 고려합니다. Shield 엔지니어는 DDoS 방어 시스템의 효과와 성능을 지속적으로 모니터링하며 새로운 위협이 발견되거나 예측되면 신속하게 대응할 수 있습니다.

트래픽이나 부하 증가에 대응하여 규모를 조정하도록 애플리케이션을 설계하여 요청 폭주 규모가 작아도 영향을 받지 않도록 할 수 있습니다. Shield Advanced를 사용하여 리소스를 보호하면 DDoS 공격으로 인해 발생할 수 있는 예상치 못한 클라우드 요금 증가에 대비할 수 있습니다.

인프라 완화

인프라 계층 공격의 경우 AWS Shield DDoS 방어 시스템이 AWS 네트워크 경계와 AWS 엣지 로케이션에 존재합니다. AWS 인프라 전체에 여러 수준의 보안 제어를 배치하면 클라우드 애플리케이션을 심층적으로 방어할 수 있습니다.

Shield는 인터넷의 모든 수신 지점에서 DDoS 방어 시스템을 유지 관리합니다. Shield는 DDoS 공격을 탐지하면 각 진입 지점에 대해 동일한 위치에 있는 DDoS 방어 시스템을 통해 트래픽을 다시 라우팅합니다. 이로 인해 추가 지연 시간이 발생하지 않으며 모든 AWS 리전 및 모든 엣지 로케이션에서 초당 100테라비트(Tbps) 이상의 방어 용량이 제공됩니다. Shield는 트래픽을 외부 또는 원격 스크러빙 센터로 다시 라우팅하지 않고도 리소스 가용성을 보호하므로 지연 시간이 늘어날 수 있습니다.

애플리케이션 계층 완화

Shield Advanced는 Shield Advanced 보호를 활성화한 Amazon CloudFront 배포와 Application Load Balancer를 위한 웹 애플리케이션 계층 완화 기능을 제공합니다. 보호를 활성화하면 AWS WAF 웹 ACL을 리소스에 연결하여 웹 애플리케이션 계층 탐지가 활성화됩니다. 또한 자동 애플리케이션 계층 완화를 활성화하여 Shield Advanced가 DDoS 공격 중에 보호 기능을 관리하도록 지시하는 옵션도 있습니다.

Shield는 Shield Advanced를 활성화한 리소스에 대한 애플리케이션 계층 공격에 대한 사용자 지정 완화 기능과 자동 애플리케이션 계층 완화만 제공합니다. Shield Advanced는 자동 완화를 통해 알려진 DDoS 소스의 요청에 대해 AWS WAF 속도 제한을 적용하고 탐지된 DDoS 공격에 대응하여 사용자 지정 AWS WAF 보호를 자동으로 추가하고 관리합니다. 이러한 유형의 완화 조치에 대한 자세한 내용은 Shield Advanced가 자동 완화를 관리하는 방법 섹션을 참조하세요.

웹 ACL의 속도 기반 규칙은 사용자가 추가하든 Shield Advanced 자동 애플리케이션 계층 완화 기능에 추가 여부와 관계없이 감지 가능한 수준에 도달하기 전에 공격을 완화할 수 있습니다. 탐지에 대한 자세한 내용은 애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직 섹션을 참조하세요.