ACFP 테스트 및 배포 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ACFP 테스트 및 배포

이 섹션에서는 사이트에 대한 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 구현을 구성 및 테스트하기 위한 일반 지침을 제공합니다. 따르기로 선택한 구체적인 단계는 요구 사항, 리소스 및 수신하는 웹 요청에 따라 달라집니다.

이 정보는 AWS WAF 보호 기능 테스트 및 튜닝에 제공된 테스트 및 조정에 대한 일반 정보 외의 정보입니다.

참고

AWS 관리형 규칙은 일반적인 웹 위협으로부터 사용자를 보호하도록 설계되었습니다. 설명서에 따라 사용할 경우 AWS 관리형 규칙 규칙 그룹에는 애플리케이션에 대한 또 다른 보안 계층이 추가됩니다. 그러나 AWS 관리형 규칙 규칙 그룹은 사용자가 선택한 AWS 리소스에 따라 결정되는 보안 책임을 대체하기 위한 것이 아닙니다. AWS에 있는 리소스가 올바르게 보호되고 있는지 확인하려면 공동 책임 모델을 참조하세요.

프로덕션 트래픽 위험

프로덕션 트래픽용 ACFP 구현을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 이를 테스트하고 조정합니다. 그런 다음 프로덕션 트래픽을 사용하여 규칙을 개수 모드에서 테스트하고 조정한 다음 활성화합니다.

AWS WAF는 ACFP 구성을 확인하는 데 사용할 수 있는 테스트 보안 인증 정보를 제공합니다. 다음 절차에서는 ACFP 관리형 규칙 그룹을 사용하도록 테스트 웹 ACL을 구성하고, 규칙 그룹에서 추가한 레이블을 캡처하도록 규칙을 구성한 다음, 이러한 테스트 보안 인증 정보를 사용하여 계정 생성 시도를 실행합니다. Amazon CloudWatch 지표에서 계정 생성 시도를 확인하여 웹 ACL이 시도를 제대로 관리했는지 확인할 수 있습니다.

이 지침은 AWS WAF 웹 ACL, 규칙 및 규칙 그룹을 만들고 관리하는 방법을 일반적으로 알고 있는 사용자를 대상으로 합니다. 이러한 주제는 이 안내서의 이전 섹션에 설명되어 있습니다.

AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 구현을 구성하고 테스트하려면

이러한 단계를 먼저 테스트 환경에서 수행한 다음, 프로덕션 환경에서 수행합니다.

  1. 계산 모드에서 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 관리형 규칙 그룹을 추가합니다.
    참고

    이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF 요금을 참조하세요.

    AWS 관리형 규칙의 규칙 그룹 AWSManagedRulesACFPRuleSet을 새 웹 ACL이나 기존 웹 ACL에 추가하고 현재 웹 ACL 동작을 변경하지 않도록 구성합니다. 이 규칙 그룹의 규칙 및 레이블에 대한 자세한 내용은 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 규칙 그룹 섹션을 참조하세요.

    • 관리형 규칙 그룹을 추가할 때는 해당 규칙 그룹을 편집하고 다음을 수행합니다.

      • 규칙 그룹 구성 창에서 애플리케이션의 계정 등록 및 생성 페이지의 세부 정보를 제공합니다. ACFP 규칙 그룹은 이 정보를 사용하여 로그인 활동을 모니터링합니다. 자세한 내용은 ACFP 관리형 규칙 그룹을 웹 ACL에 추가 섹션을 참조하세요.

      • 규칙 창에서 모든 규칙 모든 규칙 작업 재정의 드롭다운을 열고 Count를 선택합니다. 이 구성을 사용하면 AWS WAF는 요청에 레이블을 여전히 추가하면서 규칙 그룹의 모든 규칙과 비교하여 요청을 평가한 후 일치하는 항목 수만 계산합니다. 자세한 내용은 규칙 그룹에 대한 규칙 작업 재정의 섹션을 참조하세요.

        이 재정의를 통해 ACFP 관리형 규칙의 잠재적 영향을 모니터링하여 내부 사용 사례에 대한 예외와 같은 예외를 추가할지 여부를 결정할 수 있습니다.

    • 이미 사용 중인 규칙 또는 규칙 그룹보다 높은 우선 순위를 지정하여 웹 ACL의 기존 규칙 다음에 평가되도록 규칙 그룹을 배치합니다. 자세한 내용은 웹 ACL에서 규칙 우선 순위 설정 섹션을 참조하세요.

      이렇게 하면 현재의 트래픽 처리가 중단되지 않습니다. 예를 들어 SQL 명령어 삽입이나 교차 사이트 스크립팅과 같은 악성 트래픽을 탐지하는 규칙이 있는 경우 이들 규칙이 이러한 트래픽을 계속 탐지하고 기록합니다. 또는 악의적이지 않은 알려진 트래픽을 허용하는 규칙이 있는 경우 해당 트래픽을 ACFP 관리형 규칙 그룹을 통해 차단하지 않고 계속 허용할 수 있습니다. 테스트 및 조정 활동 중에 처리 순서를 조정하기로 결정할 수 있습니다.

  2. 애플리케이션 통합 SDK를 구현합니다.

    AWS WAF JavaScript SDK를 브라우저의 계정 등록 및 계정 생성 경로에 통합합니다. 또한 AWS WAF는 iOS와 안드로이드 디바이스를 통합하기 위한 모바일 SDK를 제공합니다. SDK 통합에 대한 자세한 내용은 의 클라이언트 애플리케이션 통합 AWS WAF 섹션을 참조하세요. 이 권장 사항에 대한 자세한 내용은 ACFP와 함께 애플리케이션 통합 SDK 사용 섹션을 참조하세요.

    참고

    애플리케이션 통합 SDK를 사용할 수 없는 경우 웹 ACL에서 편집하고 AllRequests 규칙에 적용한 재정의를 제거하여 ACFP 규칙 그룹을 테스트할 수 있습니다. 이렇게 하면 규칙의 Challenge 작업 설정이 활성화되어 요청에 유효한 챌린지 토큰을 포함할 수 있습니다.

    먼저 이 작업을 테스트 환경에서 수행한 다음 프로덕션 환경에서 세심한 주의를 기울여 다시 수행합니다. 이 접근 방식은 사용자를 차단할 가능성이 있습니다. 예를 들어 등록 페이지 경로에서 GET 텍스트/html 요청을 수락하지 않는 경우 이 규칙 구성을 통해 등록 페이지의 모든 요청을 효과적으로 차단할 수 있습니다.

  3. 웹 ACL의 로깅 및 지표 활성화

    필요에 따라 웹 ACL에 대한 로깅, Amazon Security Lake 데이터 수집, 요청 샘플링 및 Amazon CloudWatch 지표를 구성합니다. 이러한 가시성 도구를 사용하여 ACFP 관리형 규칙 그룹과 트래픽 간의 상호 작용을 모니터링할 수 있습니다.

  4. 웹 ACL을 리소스와 연결

    웹 ACL이 아직 테스트 리소스와 연결되지 않은 경우 해당 리소스를 연결하십시오. 자세한 내용은 웹 ACL을 AWS 리소스와 연결 또는 연결 해제 섹션을 참조하세요.

  5. 트래픽과 ACFP 규칙 일치 모니터링

    트래픽이 정상적으로 흐르고 있고 ACFP 관리형 규칙의 그룹 규칙이 일치하는 웹 요청에 레이블을 추가하고 있는지 확인하십시오. 로그에서 레이블을 볼 수 있고 Amazon CloudWatch 지표에서 ACFP 및 레이블 지표를 볼 수 있습니다. 로그에서 규칙 그룹에서 개수하도록 재정의한 규칙은 계수로 설정된 action과 재정의한 구성된 규칙 작업을 나타내는 overriddenAction을 포함하는 ruleGroupList로 표시됩니다.

  6. 규칙 그룹의 보안 인증 정보 검사 기능 테스트

    테스트용 손상된 보안 인증 정보으로 계정 생성을 시도하고 규칙 그룹이 예상대로 보안 인증 정보과 일치하는지 확인합니다.

    1. 보호된 자원의 계정 등록 페이지에 액세스하여 새 계정을 추가해 봅니다. 다음의 AWS WAF 테스트 보안 인증 정보 페어를 사용하여 원하는 테스트를 입력합니다.

      • 사용자: WAF_TEST_CREDENTIAL@wafexample.com

      • 암호: WAF_TEST_CREDENTIAL_PASSWORD

      이러한 테스트 보안 인증 정보는 손상된 보안 인증 정보으로 분류되며, ACFP 관리형 규칙 그룹은 로그에서 확인할 수 있는 계정 생성 요청에 awswaf:managed:aws:acfp:signal:credential_compromised 레이블을 추가합니다.

    2. 웹 ACL 로그의 테스트 계정 생성 요청에 대한 로그 항목 labels 필드에서 awswaf:managed:aws:acfp:signal:credential_compromised 레이블을 찾아 봅니다. 로깅에 대한 자세한 내용은 AWS WAF 웹 ACL 트래픽 로깅 단원을 참조하세요.

    규칙 그룹이 손상된 보안 인증 정보를 예상대로 캡처하는지 확인한 후에는 보호된 리소스에 필요한 대로 구현을 구성하는 단계를 수행할 수 있습니다.

  7. CloudFront 배포의 경우 대량 계정 생성 시도에 대한 규칙 그룹 관리를 테스트합니다.

    ACFP 규칙 그룹에 대해 구성한 각 성공 응답 기준에 대해 이 테스트를 실행합니다. 테스트마다 30분 이상의 대기 시간을 둡니다.

    1. 각 성공 기준마다 응답에서 해당 성공 기준을 충족할 계정 생성 시도를 식별합니다. 그런 다음 단일 고객 세션에서 30분 이내에 최소 5번의 성공적인 계정 생성 시도를 수행합니다. 일반적으로 사용자는 사이트에서 단 하나의 계정만 생성합니다.

      계정을 처음 성공적으로 생성한 후에는 VolumetricSessionSuccessfulResponse 규칙이 규칙 작업 재정의에 따라 나머지 계정 생성 응답에 대해 일치, 레이블 지정 및 계산을 시작합니다. 이 규칙은 지연 시간으로 인해 처음 한두 개를 놓칠 수 있습니다.

    2. 웹 ACL 로그의 테스트 계정 생성 요청에 대한 로그 항목 labels 필드에서 awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high 레이블을 찾아봅니다. 로깅에 대한 자세한 내용은 AWS WAF 웹 ACL 트래픽 로깅 단원을 참조하세요.

    이 테스트는 규칙에서 집계된 성공 수가 규칙의 임계값을 초과하는지 확인하여 성공 기준과 응답의 일치 여부를 확인합니다. 임계값에 도달한 후에도 동일한 세션에서 계정 생성 요청을 계속 보내면 성공률이 임계값 아래로 떨어질 때까지 규칙이 계속 일치합니다. 임계값을 초과한 경우 이 규칙은 세션 주소에서의 성공하거나 실패한 계정 생성 시도를 모두 일치시킵니다.

  8. ACFP 웹 요청 처리 사용자 지정

    필요에 따라 요청을 명시적으로 허용하거나 차단하는 자체 규칙을 추가하여 ACFP 규칙이 요청을 처리하는 방식을 변경합니다.

    예를 들어 ACFP 레이블을 사용하여 요청을 허용 또는 차단하거나 요청 처리를 사용자 지정할 수 있습니다. ACFP 관리형 규칙 그룹 뒤에 레이블 일치 규칙을 추가하여 적용할 처리에 대해 레이블이 지정된 요청을 필터링할 수 있습니다. 테스트 후에는 관련 ACFP 규칙을 계산 모드로 유지하고 사용자 지정 규칙에서 요청 처리 결정을 유지하십시오. 예시는 ACFP 예: 손상된 자격 증명에 대한 사용자 지정 응답을 확인하세요.

  9. 테스트 규칙을 제거하고 ACFP 관리형 규칙 그룹 설정을 활성화합니다.

    상황에 따라 일부 ACFP 규칙을 계산 모드로 유지하기로 결정할 수도 있습니다. 규칙 그룹 내부에 구성된 대로 실행할 규칙의 경우 웹 ACL 규칙 그룹 구성에서 계산 모드를 비활성화합니다. 테스트를 마치면 테스트 레이블 일치 규칙을 제거할 수도 있습니다.

  10. 모니터링 및 조정

    웹 요청이 원하는 대로 처리되도록 하려면 사용하려는 ACFP 기능을 활성화한 후 트래픽을 면밀히 모니터링합니다. 규칙 그룹의 규칙 수 재정의 및 자체 규칙을 사용하여 필요에 따라 동작을 조정합니다.

ACFP 규칙 그룹 구현 테스트를 마친 후 AWS WAF JavaScript SDK를 브라우저의 계정 등록 및 계정 생성 페이지에 아직 통합하지 않았다면 통합하는 것이 좋습니다. 또한 AWS WAF는 iOS와 안드로이드 디바이스를 통합하기 위한 모바일 SDK도 제공합니다. SDK 통합에 대한 자세한 내용은 의 클라이언트 애플리케이션 통합 AWS WAF 섹션을 참조하세요. 이 권장 사항에 대한 자세한 내용은 ACFP와 함께 애플리케이션 통합 SDK 사용 섹션을 참조하세요.