AWS Shield
DDoS (분산 서비스 거부) 공격에 대한 보호는 인터넷 연결 애플리케이션에 가장 중요합니다. 애플리케이션을 빌드할 때AWS, 당신은 보호 기능을 사용할 수 있습니다. AWS는 추가 비용 없이 제공합니다. 또한 를 사용할 수 있습니다. AWS Shield Advanced 추가적인 DDoS 탐지, 완화 및 대응 기능으로 보안 상태를 개선하는 관리형 위협 방지 서비스입니다.
AWS인터넷상의 나쁜 행위자에 대한 방어 시 고가용성, 보안 및 복원력을 보장하는 도구, 모범 사례 및 서비스를 제공하기 위해 최선을 다하고 있습니다. 이 가이드는 IT 의사 결정권자와 보안 엔지니어가 Shield 및 Shield Advanced를 사용하여 DDoS 공격 및 기타 외부 위협으로부터 애플리케이션을 보다 효과적으로 보호하는 방법을 이해할 수 있도록 돕기 위해 제공됩니다.
애플리케이션을 빌드할 때, 다음과 같은 방법으로 자동 보호를 받습니다. UDP 반사 공격 및 TCP SYN Flood와 같은 일반적인 용적 DDoS 공격 벡터에 대해 이러한 보호 기능을 활용하여 실행 중인 애플리케이션의 가용성을 보장할 수 있습니다. DDoS 복원력을 위한 아키텍처를 설계 및 구성합니다.
이 가이드에서는 DDoS 복원성을 위한 애플리케이션 아키텍처를 설계, 생성 및 구성하는 데 도움이 되는 권장 사항을 제공합니다. 이 가이드에서 제공하는 모범 사례를 준수하는 애플리케이션은 대규모 DDoS 공격과 광범위한 DDoS 공격 벡터를 대상으로 하는 경우 가용성의 연속성을 개선할 수 있습니다. 또한 이 가이드는 Shield Advanced를 사용하여 중요한 애플리케이션에 최적화된 DDoS 보호 자세를 구현하는 방법을 보여줍니다. 여기에는 고객에게 일정 수준의 가용성을 보장하는 애플리케이션과 운영 지원이 필요한 애플리케이션이 포함됩니다.
AWS Shield 작동 방식
AWS Shield Standard과 AWS Shield AdvancedDDoS (분산 서비스 거부) 공격을 차단합니다.AWS네트워크 및 전송 계층 (계층 3 및 4) 과 애플리케이션 계층 (계층 7) 의 리소스. DDoS 공격은 여러 개의 손상된 시스템이 대상에 많은 양의 트래픽으로 대상에 서비스 장애를 일으키려고 시도하는 공격입니다. DDoS 공격은 합법적 최종 사용자의 대상 서비스에 액세스하지 못할 수 있으며 과도한 트래픽 볼륨으로 인해 대상이 충돌할 수 있습니다.
AWS Shield 다양한 알려진 DDoS 공격 벡터와 제로 데이 공격 벡터로부터 보호합니다. Shield 탐지 및 완화는 탐지 당시 서비스에 명시적으로 알려지지 않은 위협에 대한 범위를 제공하도록 설계되었습니다.
제로데이 공격
제로데이 공격은 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해장 취약점에 대한 패치가 나오지 않은시점에서 이루어지는 공격을 말합니다.
Shield가 탐지하는 공격 클래스는 다음과 같습니다.
- 네트워크 볼류메트릭 공격 (계층 3)— 인프라 계층 공격 벡터의 하위 범주입니다. 이러한 벡터는 대상 네트워크 또는 리소스의 용량을 포화시켜 합법적인 사용자에 대한 서비스를 거부하려고 시도합니다.
볼류메트릭 공격은 과도한 DDOS광격에 대응하는 도중에 다른 유형의 공격을 함께 진행하는 것을 말한다.
-
네트워크 프로토콜 공격 (계층 4)— 인프라 계층 공격 벡터의 하위 범주입니다. 이러한 벡터는 프로토콜을 악용하여 대상 리소스에 대한 서비스를 거부합니다. 네트워크 프로토콜 공격의 일반적인 예로는 서버, 부하 분산 장치 또는 방화벽과 같은 리소스의 연결 상태가 소진될 수 있는
TCP SYN 플러드가 있습니다. 네트워크 프로토콜 공격은 대량적일 수도 있습니다. 예를 들어 더 큰 TCP SYN 플러드는 네트워크 용량을 포화시키면서 대상 리소스 또는 중간 리소스의 상태를 모두 소모하려고 할 수 있습니다. -
애플리케이션 계층 공격 (계층 7)— 이 범주의 공격 벡터는 웹 요청 플러드와 같이 대상에 유효한 쿼리로 애플리케이션을 플러딩하여 합법적인 사용자에 대한 서비스를 거부하려고 시도합니다.
Shield Advanced
특별한 경우, AWS CF를 사용하는것 보다 AWS Shield Advanced를 사용했을 경우 비용이 절감되는 경우가 있습니다. AWS CF는 접속 횟수에 대해서 비용을 지불하는데 비해 Shield Advanced는 데이터 크기에 대해서 지불을 하기 때문입니다.
DDoS 이벤트 및 공격에 대한 가시성 향상
Shield Advanced를 사용하면 공격에 대한 광범위한 가시성을 제공하는 고급 실시간 지표 및 보고서에 액세스할 수 있습니다. Shield 어드밴스드 API 및 콘솔을 통해 그리고 아마존을 통해 이 정보에 액세스할 수 있습니다.
AWS Shield standard의 경우에는 가시성을 제공하지는 않습니다. 하지만 Advanced를 사용한다면 가시성에 도움을 줄 수 있습니다.
AWSShield 리스폰스 팀 (SRT)
SRT는 보호에 대한 깊은 경험을 가지고 있습니다. 아마존닷컴 및 그 자회사가 있습니다. AWS Shield Advanced고객은 언제든지 SRT에 문의하여 애플리케이션의 가용성에 영향을 미치는 DDoS 공격 중 지원을 받을 수 있습니다. SRT를 사용하여 리소스에 대한 사용자 지정 완화 기능을 생성하고 관리할 수 있습니다. SRT의 서비스를 사용하려면 다음 서비스를 구독해야 합니다
주의할 점은 SRT는 고객의 문제를 전부 해결해주지는 않습니다. 조언을 드리고 같은 케이스에대한 지침을 드릴 뿐이고 실제로 문제를 해결해야하는 주체는 고객이 될것입니다.
