ATP 테스트 및 배포 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ATP 테스트 및 배포

이 섹션에서는 사이트에 대한 AWS WAF 사기 통제 계정 도용 방지 (ATP) 구현을 구성하고 테스트하기 위한 일반적인 지침을 제공합니다. 따르기로 선택한 구체적인 단계는 요구 사항, 리소스 및 수신하는 웹 요청에 따라 달라집니다.

이 정보는 AWS WAF 보호 기능 테스트 및 조정에 제공된 테스트 및 조정에 대한 일반 정보 외의 정보입니다.

참고

AWS 관리형 규칙은 일반적인 웹 위협으로부터 사용자를 보호하도록 설계되었습니다. 설명서에 따라 AWS 관리형 규칙 그룹을 사용하면 애플리케이션에 또 다른 보안 계층이 추가됩니다. 하지만 AWS 관리형 규칙 규칙 그룹은 선택한 AWS 리소스에 따라 결정되는 보안 책임을 대체하기 위한 것이 아닙니다. 공동 책임 모델을 참조하여 AWS 리소스가 적절하게 보호되도록 하세요.

프로덕션 트래픽 위험

프로덕션 트래픽용 ATP 구현을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 이를 테스트하고 조정합니다. 그런 다음 프로덕션 트래픽을 사용하여 규칙을 개수 모드에서 테스트하고 조정한 다음 활성화합니다.

AWS WAF ATP 구성을 검증하는 데 사용할 수 있는 테스트 인증서를 제공합니다. 다음 절차에서는 ATP 관리형 규칙 그룹을 사용하도록 테스트 웹 ACL을 구성하고, 규칙 그룹에서 추가한 레이블을 캡처하도록 규칙을 구성한 다음, 이러한 테스트 보안 인증을 사용하여 로그인 시도를 실행합니다. 로그인 시도에 대한 Amazon CloudWatch 지표를 확인하여 웹 ACL이 시도를 제대로 관리했는지 확인할 수 있습니다.

이 지침은 AWS WAF 웹 ACL, 규칙 및 규칙 그룹을 만들고 관리하는 방법을 일반적으로 알고 있는 사용자를 대상으로 합니다. 이러한 주제는 이 안내서의 이전 섹션에 설명되어 있습니다.

AWS WAF 사기 통제 계정 탈취 방지 (ATP) 구현을 구성하고 테스트하려면

이러한 단계를 먼저 테스트 환경에서 수행한 다음, 프로덕션 환경에서 수행합니다.

  1. AWS WAF 사기 방지 계정 인수 방지 (ATP) 관리 규칙 그룹을 카운트 모드에 추가합니다.
    참고

    이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF 요금을 참조하십시오.

    AWS 관리형 규칙 규칙 그룹을 AWSManagedRulesATPRuleSet 새 웹 ACL이나 기존 웹 ACL에 추가하고 현재 웹 ACL 동작을 변경하지 않도록 구성합니다. 이 규칙 그룹의 규칙 및 레이블에 대한 자세한 내용은 AWS WAF 사기 방지 계정 탈취 방지 (ATP) 규칙 그룹 섹션을 참조하세요.

    • 관리형 규칙 그룹을 추가할 때는 해당 규칙 그룹을 편집하고 다음을 수행합니다.

      • 규칙 그룹 구성 창에서 애플리케이션의 로그인 페이지의 세부 정보를 제공합니다. ATP 규칙 그룹은 이 정보를 사용하여 로그인 활동을 모니터링합니다. 자세한 정보는 ATP 관리형 규칙 그룹을 새 웹 ACL에 추가을 참조하세요.

      • 규칙 창에서 모든 규칙 모든 규칙 작업 재정의 드롭다운을 열고 Count를 선택합니다. 이 구성을 사용하면 AWS WAF 는 요청에 레이블을 여전히 추가하면서 규칙 그룹의 모든 규칙과 비교하여 요청을 평가한 후 일치하는 항목 수만 계산합니다. 자세한 정보는 규칙 그룹에 대한 규칙 작업 재정의을 참조하세요.

        이 재정의를 통해 ATP 관리형 규칙의 잠재적 영향을 모니터링하여 내부 사용 사례에 대한 예외와 같은 예외를 추가할지 여부를 결정할 수 있습니다.

    • 이미 사용 중인 규칙 또는 규칙 그룹보다 높은 우선 순위를 지정하여 웹 ACL의 기존 규칙 다음에 평가되도록 규칙 그룹을 배치합니다. 자세한 정보는 웹 ACL의 규칙 및 규칙 그룹 처리 순서을 참조하세요.

      이렇게 하면 현재의 트래픽 처리가 중단되지 않습니다. 예를 들어 SQL 명령어 삽입이나 교차 사이트 스크립팅과 같은 악성 트래픽을 탐지하는 규칙이 있는 경우 이들 규칙이 이러한 트래픽을 계속 탐지하고 기록합니다. 또는 악의적이지 않은 알려진 트래픽을 허용하는 규칙이 있는 경우 해당 트래픽을 ATP 관리형 규칙 그룹을 통해 차단하지 않고 계속 허용할 수 있습니다. 테스트 및 조정 활동 중에 처리 순서를 조정하기로 결정할 수 있습니다.

  2. 웹 ACL에 대한 로깅 및 메트릭을 활성화합니다.

    필요에 따라 로깅, Amazon Security Lake 데이터 수집, 요청 샘플링 및 웹 ACL에 대한 Amazon CloudWatch 지표를 구성합니다. 이러한 가시성 도구를 사용하여 ATP 관리형 규칙 그룹과 트래픽 간의 상호 작용을 모니터링할 수 있습니다.

  3. 웹 ACL을 리소스와 연결

    웹 ACL이 아직 테스트 리소스와 연결되지 않은 경우 해당 리소스를 연결하십시오. 자세한 내용은 웹 ACL을 리소스와 연결 또는 연결 해제 AWS을 참조하세요.

  4. 트래픽과 ATP 규칙 일치 모니터링

    트래픽이 정상적으로 흐르고 있고 ATP 관리형 규칙의 그룹 규칙이 일치하는 웹 요청에 레이블을 추가하고 있는지 확인하십시오. 로그에서 레이블을 볼 수 있고 Amazon CloudWatch 지표에서 ATP 및 레이블 지표를 볼 수 있습니다. 로그에서 규칙 그룹에서 개수하도록 재정의한 규칙은 계수로 설정된 action과 재정의한 구성된 규칙 작업을 나타내는 overriddenAction을 포함하는 ruleGroupList로 표시됩니다.

  5. 규칙 그룹의 보안 인증 정보 검사 기능 테스트

    테스트용 손상된 보안 인증 정보로 로그인을 시도하고 규칙 그룹이 예상대로 보안 인증 정보와 일치하는지 확인합니다.

    1. 다음 AWS WAF 테스트 자격 증명 쌍을 사용하여 보호된 리소스의 로그인 페이지에 로그인합니다.

      • 사용자: WAF_TEST_CREDENTIAL@wafexample.com

      • 암호: WAF_TEST_CREDENTIAL_PASSWORD

      이러한 테스트 보안 인증 정보는 손상된 보안 인증 정보으로 분류되며, ACFP 관리형 규칙 그룹은 로그에서 확인할 수 있는 계정 생성 요청에 awswaf:managed:aws:atp:signal:credential_compromised 레이블을 추가합니다.

    2. 웹 ACL 로그의 테스트 로그인 웹 요청에 대한 로그 항목 labels 필드에서 awswaf:managed:aws:atp:signal:credential_compromised 레이블을 찾아 봅니다. 로깅에 대한 자세한 내용은 AWS WAF 웹 ACL 트래픽 로깅 단원을 참조하세요.

    규칙 그룹이 손상된 보안 인증 정보를 예상대로 캡처하는지 확인한 후에는 보호된 리소스에 필요한 대로 구현을 구성하는 단계를 수행할 수 있습니다.

  6. CloudFront 배포의 경우 규칙 그룹의 로그인 실패 관리를 테스트하세요.

    1. ATP 규칙 그룹에 대해 구성한 각 성공 응답 기준에 대해 이 테스트를 실행합니다. 테스트마다 10분 이상의 대기 시간을 둡니다.

      단일 실패 기준을 테스트하려면 응답에서 해당 기준에 따라 실패할 로그인 시도를 식별합니다. 그런 다음 단일 클라이언트 IP 주소에서 10분 이내에 10회 이상의 로그인 실패를 시도합니다.

      볼륨 측정 실패 로그인 규칙은 처음 6회 실패 후 나머지 시도와의 일치, 레이블 지정 및 계산을 시작해야 합니다. 이 규칙은 지연 시간으로 인해 처음 한두 개를 놓칠 수 있습니다.

    2. 웹 ACL 로그의 테스트 로그인 웹 요청에 대한 로그 항목 labels 필드에서 awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high 레이블을 찾아 봅니다. 로깅에 대한 자세한 내용은 AWS WAF 웹 ACL 트래픽 로깅 단원을 참조하세요.

    이러한 테스트는 실패한 로그인 수가 VolumetricIpFailedLoginResponseHigh 규칙의 임계값을 초과하는지 확인하여 실패 기준이 응답과 일치하는지 확인합니다. 임계값에 도달한 후에도 동일한 IP 주소에서 로그인 요청을 계속 보내면 성공률이 임계값 아래로 떨어질 때까지 규칙이 계속 일치합니다. 임계값을 초과한 경우 이 규칙은 IP 주소에서의 성공하거나 실패한 로그인 시도를 모두 일치시킵니다.

  7. ATP 웹 요청 처리를 사용자 지정합니다.

    필요에 따라 요청을 명시적으로 허용하거나 차단하는 자체 규칙을 추가하여 ATP 규칙이 요청을 처리하는 방식을 변경합니다.

    예를 들어 ATP 레이블을 사용하여 요청을 허용 또는 차단하거나 요청 처리를 사용자 지정할 수 있습니다. ATP 관리형 규칙 그룹 뒤에 레이블 일치 규칙을 추가하여 적용할 처리에 대해 레이블이 지정된 요청을 필터링할 수 있습니다. 테스트 후에는 관련 ATP 규칙을 계수 모드로 유지하고 요청 처리 결정을 사용자 지정 규칙에서 유지하십시오. 예시는 ATP 예제: 분실 및 손상된 보안 인증 정보에 대한 사용자 지정 처리단원을 참조하세요.

  8. 테스트 규칙을 제거하고 ATP 관리형 규칙 그룹 설정을 활성화합니다.

    상황에 따라 일부 ATP 규칙이 계수 모드에서 나가도록 결정할 수도 있습니다. 규칙 그룹 내부에 구성된 대로 실행할 규칙의 경우 웹 ACL 규칙 그룹 구성에서 계산 모드를 비활성화합니다. 테스트를 마치면 테스트 레이블 일치 규칙을 제거할 수도 있습니다.

  9. 모니터링 및 조정

    웹 요청이 원하는 대로 처리되도록 하려면 사용하려는 ATP 기능을 활성화한 후 트래픽을 면밀히 모니터링합니다. 규칙 그룹의 규칙 수 재정의 및 자체 규칙을 사용하여 필요에 따라 동작을 조정합니다.

ATP 규칙 그룹 구현 테스트를 마친 후 아직 구현하지 않았다면 탐지 기능을 강화하기 위해 AWS WAF JavaScript SDK를 브라우저 로그인 페이지에 통합하는 것이 좋습니다. AWS WAF 또한 iOS와 안드로이드 장치를 통합하기 위한 모바일 SDK를 제공합니다. SDK 통합에 대한 자세한 내용은 AWS WAF 클라이언트 애플리케이션 통합 섹션을 참조하세요. 이 권장 사항에 대한 자세한 내용은 애플리케이션 통합 SDK를 ATP와 함께 사용해야 하는 이유 섹션을 참조하세요.