기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Firewall ManagerAWS Shield Advanced 정책 설정
AWS Firewall Manager 를 사용하여 조직 전체에서 AWS Shield Advanced 보호를 활성화할 수 있습니다.
중요
Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 AWS 리소스에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.
Firewall Manager를 사용하여 Shield Advanced 보호를 활성화하려면 다음 단계를 순서대로 수행합니다.
주제
1단계: 사전 조건 완료
AWS Firewall Manager의 계정을 준비하려면 몇 가지 필수 단계를 거쳐야 합니다. 이 단계는 AWS Firewall Manager 사전 조건에서 설명합니다. 2단계: Shield Advanced 정책 생성 및 적용으로 진행하기 전에 사전 조건을 모두 완료하십시오.
2단계: Shield Advanced 정책 생성 및 적용
사전 조건을 완료한 후 AWS Firewall Manager Shield Advanced 정책을 생성합니다. Firewall Manager Shield Advanced 정책에는 Shield Advanced로 보호할 계정과 리소스가 포함되어 있습니다.
중요
Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 AWS 리소스에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.
Firewall Manager Shield Advanced 정책을 생성하려면(콘솔)
-
Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2
. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 사전 조건을 참조하세요. 참고
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 사전 조건을 참조하세요.
-
탐색 창에서 보안 정책을 선택합니다.
-
정책 생성을 선택합니다.
-
정책 유형으로는 Shield Advanced를 선택합니다.
Shield Advanced 정책을 생성하려면 Firewall Manager 관리자 계정이 Shield Advanced를 구독한 상태여야 합니다. 가입되지 않은 경우 가입하라는 메시지가 나타납니다. 구독 비용에 관한 자세한 내용은 AWS Shield Advanced 가격
을 참조하세요. 참고
각 회원 계정에서 수동으로 Shield Advanced를 구독할 필요가 없습니다. Firewall Manager는 정책을 생성할 때 이 작업을 수행합니다. 계정의 리소스를 계속해서 보호하려면 각 계정이 Firewall Manager 및 Shield Advanced를 계속 구독하고 있어야 합니다.
-
리전에서를 선택합니다 AWS 리전. Amazon CloudFront 리소스를 보호하려면 글로벌을 선택합니다.
여러 지역에 있는 리소스(CloudFront 리소스 제외)를 보호하려면 각 지역에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.
-
Next(다음)를 선택합니다.
-
이름에 설명하는 이름을 입력합니다.
-
(글로벌 리전 한정) 글로벌 리전 정책에 한해 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화 관리 여부를 선택할 수 있습니다. 이 자습서에서는 이 옵션을 기본 설정인 무시로 그대로 두십시오.
-
정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 선택합니다.
-
Next(다음)를 선택합니다.
-
AWS 계정 이 정책은에 적용되므로 포함하거나 제외할 계정을 지정하여 정책의 범위를 좁힐 수 있습니다. 이 자습서에서는 내 조직에 있는 모든 계정 포함을 선택합니다.
-
보호할 리소스 타입을 선택합니다.
Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 대신 AWS 리소스에 AWS Shield Advanced 보호 추가의 Shield Advanced 지침을 따르십시오.
-
리소스의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 섹션을 참조하세요AWS Firewall Manager 정책 범위 사용.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
-
Next(다음)를 선택합니다.
-
정책 태그에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.
-
Next(다음)를 선택합니다.
-
새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책 작업이 Identify resources that don’t comply with the policy rules, but don’t auto remediate(정책 규칙을 준수하지 않는 리소스를 식별하지만 자동으로 문제를 해결하지 않음)으로 설정되어 있는지 확인합니다. 이렇게 하면 정책이 활성화되기 전에 변경 사항을 검토할 수 있습니다.
-
정책이 마음에 들면 정책 생성를 선택합니다.
AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 보류 중이 표시되고 자동 문제 해결 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기 섹션을 참조하세요.
계속해서 3단계: (선택 사항) Shield 대응 팀(SRT)에 권한 부여로 이동하세요.
3단계: (선택 사항) Shield 대응 팀(SRT)에 권한 부여
의 이점 중 하나는 Shield 대응 팀(SRT)의 지원 AWS Shield Advanced 입니다. 잠재적 DDoS 공격이 발생할 경우 AWS Support 센터
계정 레벨에서 SRT에게 권한을 부여하고 문의합니다. 즉, 계정 소유자(Firewall Manager 관리자가 아님)가 다음 단계를 수행하여 SRT에게 공격을 완화할 수 있는 권한을 부여해야 합니다. Firewall Manager 관리자는 자신이 소유하는 계정에 대해서만 SRT에게 권한을 부여할 수 있습니다. 마찬가지로, 계정 소유자만 SRT에게 문의하여 지원을 요청할 수 있습니다.
참고
SRT의 서비스를 사용하려면 Business Support 플랜
SRT에게 사용자를 대신하여 잠재적 공격을 완화할 수 있는 권한을 부여하려면 Shield 대응팀(SRT) 지원을 통한 관리형 DDoS 이벤트 응답의 지침을 따릅니다. 동일한 단계를 사용하여 언제든지 SRT 액세스 및 권한을 변경할 수 있습니다.
계속해서 4단계: Amazon SNS 알림 및 Amazon CloudWatch 경보 구성로 이동하세요.
4단계: Amazon SNS 알림 및 Amazon CloudWatch 경보 구성
Amazon SNS 알림이나 CloudWatch 경보를 구성하지 않고 이 단계부터 계속할 수 있습니다. 그러나 이러한 경보 및 알림을 구성하면 가능한 DDoS 이벤트에 대한 가시성이 크게 향상됩니다.
Amazon SNS를 사용하여 보호 리소스의 잠재적 DDoS 활동 여부를 모니터링할 수 있습니다. 가능한 공격에 대한 알림을 수신하려면 각 리전에 대해 Amazon SNS 주제를 생성합니다.
중요
잠재적 DDoS 활동에 대한 Amazon SNS 알림은 실시간으로 전송되지 않으며 지연될 수 있습니다. 잠재적 DDoS 활동에 대한 실시간 알림을 활성화하려면 CloudWatch 경보를 사용할 수 있습니다. 경보는 보호된 리소스가 있는 계정의 DDoSDetected 지표를 기반으로 해야 합니다.
Firewall Manager에서 Amazon SNS 주제를 생성하려면(콘솔)
-
Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2
. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 사전 조건을 참조하세요. 참고
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 사전 조건을 참조하세요.
-
탐색 창의 AWS FMS에서 설정을 선택합니다.
[Create new topic]을 선택합니다.
주제 이름을 입력합니다.
Amazon SNS 메시지를 수신할 이메일 주소를 입력한 후 이메일 주소 추가를 선택합니다.
Update SNS configuration(SNS 구성 업데이트)을 선택합니다.
Amazon CloudWatch 경보 구성
Shield Advanced는 모니터링할 수 있는 CloudWatch의 탐지, 완화 및 최고 기여자 지표를 기록합니다. 자세한 내용은 AWS Shield Advanced 지표 단원을 참조하십시오. CloudWatch에는 추가 비용이 발생합니다. CloudWatch 요금에 대한 자세한 내용은 Amazon CloudWatch 요금
CloudWatch 경보를 생성하려면 Amazon CloudWatch 경보 사용의 지침을 따르십시오. 기본적으로 Shield Advanced는 잠재적 DDoS 이벤트를 나타내는 1가지 지표가 탐지되었을 때 알릴 수 있도록 CloudWatch를 구성합니다. 필요한 경우 CloudWatch 콘솔에서 이러한 설정을 변경하여 여러 지표가 탐지된 후에만 알리도록 구성할 수 있습니다.
참고
경보 외에도 CloudWatch 대시보드를 사용해 잠재적 DDoS 활동을 모니터링할 수 있습니다. 대시보드는 Shield Advanced에서 원시 데이터를 수집한 후 판독이 가능한 지표로 실시간에 가깝게 처리합니다. Amazon CloudWatch의 통계를 사용하여 웹 애플리케이션 또는 서비스가 어떻게 실행되고 있는지 전체적으로 더 잘 파악할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서에서 CloudWatch란 무엇입니까?를 참조하세요.
CloudWatch 대시보드 생성에 관한 지침은 Amazon CloudWatch를 사용한 모니터링을 참조하세요. 대시보드에 추가할 수 있는 특정 Shield Advanced 지표에 대한 자세한 내용은 AWS Shield Advanced 지표을 참조하세요.
Shield Advanced 구성을 완료했으면 Shield Advanced를 사용한 DDoS 이벤트 가시성에서 이벤트를 볼 수 있는 옵션을 숙지하십시오.
