AWS WAF 정책을 위한 웹 ACL 관리 - AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced

AWS WAF 정책을 위한 웹 ACL 관리

Firewall Manager는 구성 설정 및 일반 정책 관리에 따라 범위 내 리소스에 대한 웹 ACL을 생성하고 관리합니다.

참고

고급 자동 애플리케이션 계층 DDoS 완화로 구성된 리소스가 AWS WAF 정책 범위에 포함되는 경우 Firewall Manager는 리소스에 해당 정책 보호를 적용할 수 없고 리소스를 규정 미준수로 표시합니다.

연결되지 않은 웹 ACL 구성 관리

리소스에서 웹 ACL을 사용하지 않을 때 Firewall Manager가 계정의 웹 ACL을 관리하는 방법을 지정하는 정책 구성 설정입니다. 연결되지 않은 웹 ACL의 관리를 활성화하면 Firewall Manager는 하나 이상의 리소스에서 웹 ACL을 사용할 경우에만 정책 범위 내의 계정에 웹 ACL을 생성합니다. 이 옵션을 활성화하지 않으면 Firewall Manager는 웹 ACL 사용 여부에 관계없이 각 계정에 웹 ACL이 있는지 자동으로 확인합니다.

이 옵션이 활성화되어 있고 계정이 정책 범위에 포함되는 경우, 하나 이상의 리소스가 웹 ACL을 사용할 경우 Firewall Manager는 계정에 웹 ACL을 자동으로 생성합니다.

또한 연결되지 않은 웹 ACL의 관리를 정책 성성에서 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹 ACL을 한 번 정리합니다. 해당 정리 중에 Firewall Manager는 생성 후 수정한 웹 ACL을 건너뛰습니다(예: 웹 ACL에 규칙 그룹을 추가하거나 설정을 수정한 경우). 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 ACL을 생성한 후 리소스가 정책 범위를 벗어나는 경우 Firewall Manager는 웹 ACL에서 리소스를 분리하지만 연결되지 않은 웹 ACL을 정리하지는 않습니다. Firewall Manager는 정책에서 연결되지 않은 웹 ACL의 관리를 처음 활성화한 경우에만 연결되지 않은 웹 ACL을 정리합니다.

API에서 이 설정은 SecurityServicePolicyData 데이터 유형의 optimizeUnassociatedWebACL입니다. 예시: \"optimizeUnassociatedWebACL\":false

웹 ACL 소스 구성: 새로 만들거나 기존 것을 수정하시겠습니까?

범위 내 리소스와 연결된 기존 웹 ACL에서 Firewall Manager가 수행하는 작업을 지정하는 정책 구성 설정입니다.

기본적으로 Firewall Manager는 범위 내 리소스에 대한 모든 새 웹 ACL을 생성합니다. 새로 고침을 사용하면 Firewall Manager는 이미 사용 중인 기존 웹 ACL을 사용하고 아직 연결되지 않은 리소스에 대해 새 웹 ACL만 생성합니다.

정책이 추가 장착하도록 구성된 경우 범위 내 리소스와 연결된 모든 웹 ACL이 추가 장착되거나 규정 미준수로 표시됩니다.

Firewall Manager는 다음 요구 사항을 충족하는 경우에만 웹 ACL을 개량합니다.

  • 웹 ACL은 고객 계정에서 소유합니다.

  • 웹 ACL은 범위 내 리소스에만 연결됩니다.

    작은 정보

    새로 고침을 위한 AWS WAF 정책을 구성하기 전에 정책의 범위 내 리소스와 연결된 웹 ACL이 범위 외 리소스와 연결되지 않았는지 확인합니다.

    작은 정보

    연결된 리소스를 삭제하려면 먼저 웹 ACL에서 연결을 해제합니다. 범위 외 리소스와의 연결로 인해 웹 ACL이 규정을 준수하지 않는 경우 먼저 웹 ACL과 연결 해제하지 않고 범위 외 리소스를 삭제하면 웹 ACL이 규정 준수 상태가 될 수 있으며 Firewall Manager는 문제 해결을 통해 웹 ACL을 개량할 수 있지만 이 상황에서의 문제 해결은 최대 24시간 지연될 수 있습니다.

규정 준수 위반 세부 정보에 액세스하는 방법에 대한 자세한 내용은 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기 섹션을 참조하세요.

웹 ACL을 추가 장착할 수 있는 경우 Firewall Manager는 다음과 같이 이를 수정합니다.

  • Firewall Manager는 웹 ACL의 기존 규칙 앞에 AWS WAF 정책의 첫 번째 규칙 그룹을 삽입하고 끝에 AWS WAF 정책의 마지막 규칙 그룹을 추가합니다. 규칙 그룹 관리에 대한 자세한 내용은 AWS WAF 정책에 대한 규칙 그룹 관리 섹션을 참조하세요.

  • 정책에 로깅 구성이 있는 경우 Firewall Manager는 웹 ACL이 아직 로깅용으로 구성되지 않은 경우에만 웹 ACL에 추가합니다. 웹 ACL에 이미 로깅이 구성된 경우 Firewall Manager는 해당 웹 ACL을 그대로 둡니다.

  • Firewall Manager는 다른 웹 ACL 속성을 확인하거나 구성하지 않습니다. 예를 들어 Firewall Manager는 웹 ACL의 기본 작업, 사용자 지정 요청 헤더 CAPTCHA 또는 Challenge 구성 또는 토큰 도메인 목록을 수정하지 않습니다. Firewall Manager는 Firewall Manager가 생성하는 웹 ACL에서만 이러한 다른 속성을 구성합니다.

Firewall Manager가 연결된 모든 기존 웹 ACL을 새로 고치면 웹 ACL이 없는 범위 내 리소스에 대해 Firewall Manager는 기본 정책 동작에 따라 리소스를 처리합니다. AWS WAF가 보호할 수 있는 리소스인 경우 Firewall Manager는 Firewall Manager 웹 ACL을 생성하고 해당 리소스와 연결합니다.

API에서 웹 ACL 소스 설정은 SecurityServicePolicyData 데이터 유형의 webACLSource에 있습니다. 예시: \"webACLSource\":\"RETROFIT_EXISTING\"

샘플링 및 CloudWatch 지표

AWS Firewall Manager은 AWS WAF 정책용으로 생성한 웹 ACL 및 규칙 그룹에 대한 샘플링 및 Amazon CloudWatch 지표를 활성화합니다.

웹 ACL 이름 지정

Firewall Manager가 생성하는 웹 ACL의 이름은 다음 FMManagedWebACLV2-policy name-timestamp과 같이 AWS WAF 정책 다음에 지정됩니다. 타임스탬프는 UTC 밀리초 단위입니다. 예: FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Firewall Manager가 새로 고치는 웹 ACL에는 생성 시 고객 계정이 지정한 이름이 있습니다. 웹 ACL 명칭은 생성 후에는 변경될 수 없습니다.