기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS WAF의 보안 자동화를 사용하여 웹 기반 공격을 필터링하는 단일 웹 액세스 제어 목록 자동 배포
<a name="solution-overview"></a>

AWS WAF용 보안 자동화 솔루션은 일반적인 웹 악용으로부터 애플리케이션을 보호하는 데 도움이 되는 사전 구성된 규칙 세트를 배포합니다. 이 솔루션의 핵심 서비스인 [AWS WAF](https://aws.amazon.com/waf/)는 애플리케이션 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소비할 수 있는 공격 기법으로부터 웹 애플리케이션을 보호하는 데 도움이 됩니다. AWS WAF를 사용하여 사용자 지정 가능한 웹 보안 규칙을 정의할 수 있습니다. 이러한 규칙은 [Amazon CloudFront](https://aws.amazon.com/cloudfront/), [Application Load Balancer](https://aws.amazon.com/elasticloadbalancing/applicationloadbalancer/)(ALB)와 같은 AWS 리소스에 배포된 웹 애플리케이션 및 애플리케이션 프로그래밍 인터페이스(APIs)를 허용하거나 차단할 트래픽을 제어합니다. 지원되는 리소스 유형에 대한 자세한 내용은 [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)*, AWS Firewall Manager 및 AWS Shield Advanced 개발자 안내서의 AWS WAF*를 참조하세요.

AWS WAF 규칙을 구성하는 것은 특히 전용 보안 팀이 없는 대규모 조직과 소규모 조직 모두에게 어렵고 부담스러울 수 있습니다. 이 프로세스를 간소화하기 위해 AWS WAF용 보안 자동화 솔루션은 일반적인 웹 기반 공격을 필터링하도록 설계된 AWS WAF 규칙 세트와 함께 단일 웹 액세스 제어 목록(ACL)을 자동으로 배포합니다. 이 솔루션의 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 템플릿을 처음 구성하는 동안 포함할 보호 기능을 지정할 수 있습니다. 이 솔루션을 배포한 후 AWS WAF는 기존 CloudFront 배포(들) 또는 ALB(들)에 대한 웹 요청을 검사하고 해당하는 경우 차단합니다.

 **CloudFormation 템플릿은 AWS WAF 필터링 규칙을 사용하여 웹 ACL을 배포합니다.**

![\[구성 웹 ACL\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/security-automations-for-aws-waf/images/configuration-web-acl.png)


이 구현 가이드에서는 Amazon Web Services(AWS) 클라우드에이 솔루션을 배포하기 위한 아키텍처 고려 사항, 구성 단계 및 운영 모범 사례를 설명합니다. 여기에는 보안 및 가용성에 대한 AWS 모범 사례를 사용하여 AWS에서이 솔루션을 배포하는 데 필요한 AWS 보안, 컴퓨팅, 스토리지 및 기타 서비스를 시작, 구성 및 실행하는 CloudFormation 템플릿에 대한 링크가 포함되어 있습니다.

이 설명서의 정보는 AWS WAF, CloudFront, ALBs. [AWS Lambda](https://aws.amazon.com/lambda/) 또한 일반적인 웹 기반 공격 및 완화 전략에 대한 기본 지식이 필요합니다.

**참고**  
버전 3.0.0부터이 솔루션은 최신 버전의 AWS WAF 서비스 API([AWS WAFV2](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html))를 지원합니다.

이 가이드는 IT 관리자, 보안 엔지니어, DevOps 엔지니어, 개발자, 솔루션 아키텍트 및 웹 사이트 관리자를 대상으로 합니다.

**참고**  
AWS WAF 규칙을 구현하기 위한 출발점으로이 솔루션을 사용하는 것이 좋습니다. 필요에 따라 [소스 코드를](https://github.com/aws-solutions/aws-waf-security-automations) 사용자 지정하고, 새 사용자 지정 규칙을 추가하고, 더 많은 [AWS WAF 관리형 규칙을](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) 활용할 수 있습니다.

이 탐색 테이블을 사용하여 다음 질문에 대한 답을 빠르게 찾을 수 있습니다.


| 다음을 수행하려는 경우 . . . | 읽기 . . . | 
| --- | --- | 
|  이 솔루션을 실행하는 데 드는 비용을 파악합니다. 이 솔루션을 실행하는 데 드는 총 비용은 활성화된 보호와 수집, 저장 및 처리된 데이터의 양에 따라 달라집니다.  |   [비용](cost.md)   | 
|  이 솔루션의 보안 고려 사항을 이해합니다.  |   [보안](security.md)   | 
|  이 솔루션에서 지원되는 AWS 리전을 파악합니다.  |   [지원되는 AWS 리전](plan-your-deployment.md#supported-aws-regions)   | 
|  이 솔루션에 포함된 CloudFormation 템플릿을 보거나 다운로드하여이 솔루션의 인프라 리소스("스택")를 자동으로 배포합니다.  |   [AWS CloudFormation 템플릿](aws-cloudformation-templates.md)   | 
|  Support를 사용하면 솔루션을 배포, 사용 또는 문제 해결하는 데 도움이 됩니다.  |   [지원](contact-aws-support.md)   | 
|  소스 코드에 액세스하고 선택적으로 AWS 클라우드 개발 키트(AWS CDK)를 사용하여 솔루션을 배포합니다.  |   [GitHub 리포지토리](https://github.com/aws-solutions/aws-waf-security-automations/)   | 

# 기능 및 이점
<a name="features-and-benefits"></a>

AWS WAF용 보안 자동화 솔루션은 다음과 같은 기능과 이점을 제공합니다.

## AWS 관리형 규칙 규칙 그룹으로 웹 애플리케이션 보호
<a name="secure-web-apps"></a>

 [AWS WAF용 AWS 관리형 규칙](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html)은 일반적인 애플리케이션 취약성 또는 기타 원치 않는 트래픽에 대한 보호를 제공합니다. 이 솔루션에는 [AWS 관리형 IP 평판 규칙 그룹](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html), [AWS 관리형 기준 규칙 그룹](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html) 및 [AWS 관리형 사용 사례별 규칙 그룹이](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-use-case.html) 포함됩니다. 최대 웹 ACL 용량 단위(WCU) 할당량까지 웹 ACL에 대해 하나 이상의 규칙 그룹을 선택할 수 있습니다.

## 사전 정의된 HTTP Flood 사용자 지정 규칙을 사용하여 계층 7 플러드 보호 제공
<a name="layer-7"></a>

**HTTP Flood** 사용자 지정 규칙은 고객이 정의한 기간 동안 웹 계층 분산 Denial-of-Service(DDoS) 공격으로부터 보호합니다. 다음 옵션 중 하나를 선택하여이 규칙을 활성화할 수 있습니다.
+ AWS WAF 속도 기반 규칙
+ Lambda 로그 구문 분석기
+  [Amazon Athena](https://aws.amazon.com/athena/) 로그 파서

Lambda 로그 구문 분석기 또는 Athena 로그 구문 분석기 옵션을 사용하면 요청 할당량을 100 미만으로 정의할 수 있습니다. 이 접근 방식은 AWS WAF [속도 기반 규칙에](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-type-rate-based.html) 필요한 할당량에 도달하지 않는 데 도움이 될 수 있습니다. 자세한 내용은 [로그 구문 분석기 옵션을](log-parser-options.md) 참조하세요.

필터링 조건에 국가 및 URI(Uniform Resource Identifier)를 추가하여 Athena 로그 구문 분석기를 개선할 수도 있습니다. 이 접근 방식은 예측할 수 없는 URI 패턴이 있는 HTTP 플러드 공격을 식별하고 차단합니다. 자세한 내용은 [HTTP Flood Athena 로그 구문 분석기에서 국가 및 URI 사용을](use-country-and-uri-in-http-flood-athena-log-parser.md) 참조하세요.

## 사전 정의된 스캐너 및 프로브 사용자 지정 규칙을 사용하여 취약성 악용 차단
<a name="block-with-scanners-and-probes"></a>

**스캐너 및 프로브** 사용자 지정 규칙은 오리진에서 생성된 비정상적인 양의 오류와 같은 의심스러운 동작을 검색하는 애플리케이션 액세스 로그를 구문 분석합니다. 그런 다음 고객이 정의한 기간 동안 의심스러운 소스 IP 주소를 차단합니다. Lambda 로그 구문 분석기 또는 Athena 로그 구문 분석기 중 하나를 선택하여이 규칙을 활성화할 수 있습니다. 자세한 내용은 [로그 구문 분석기 옵션을](log-parser-options.md) 참조하세요.

## 사전 정의된 잘못된 봇 사용자 지정 규칙을 사용하여 침입 감지 및 편향
<a name="detect-and-deflect"></a>

**잘못된 봇** 사용자 지정 규칙은 허니팟 엔드포인트를 설정합니다. 허니팟 엔드포인트는 시도된 공격을 유추하고 방어하기 위한 보안 메커니즘입니다. 웹 사이트에 엔드포인트를 삽입하여 콘텐츠 스크레이퍼 및 잘못된 봇의 인바운드 요청을 감지할 수 있습니다. 감지되면 동일한 오리진의 모든 후속 요청이 차단됩니다. 자세한 내용은 [웹 애플리케이션에 Honeypot 링크 임베드를 참조하세요](embed-the-honeypot-link-in-your-web-application-optional.md).

## 사전 정의된 IP 평판 목록 사용자 지정 규칙을 사용하여 악성 IP 주소 차단
<a name="block-ip"></a>

**IP 신뢰도 목록** 사용자 지정 규칙은 차단할 새 IP 범위에 대해 시간당 타사 IP 신뢰도 목록을 확인합니다. 이러한 목록에는 [Spamhaus](https://www.spamhaus.org/drop/) Don't Route Or Peer(DROP) 및 Extended DROP(EDROP) 목록, Proofpoint [Emerging Threats IP 목록](https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt) 및 [Tor 출구 노드 목록이 포함됩니다](https://check.torproject.org/exit-addresses).

## 사전 정의된 허용 및 거부 IP 목록 사용자 지정 규칙을 사용하여 수동 IP 구성 제공
<a name="manual-ip"></a>

**허용 및 거부 IP 목록** 사용자 지정 규칙을 사용하면 허용 또는 거부하려는 IP 주소를 수동으로 삽입할 수 있습니다. [허용 및 거부 IP 목록에서 IP 보존](configure-ip-retention-on-allowed-and-denied-aws-waf-ip-sets.md)을 구성하여 설정된 시간에 IPs를 만료시킬 수도 있습니다.

## 자체 모니터링 대시보드 구축
<a name="dashboard-ip"></a>

이 솔루션은 허용된 요청, 차단된 요청 및 기타 관련 지표와 같은 [Amazon CloudWatch](https://aws.amazon.com/cloudwatch/) 지표를 내보냅니다. 사용자 지정 대시보드를 구축하여 이러한 지표를 시각화하고 AWS WAF에서 제공하는 공격 및 보호 패턴에 대한 인사이트를 얻을 수 있습니다. 자세한 내용은 [빌드 모니터링 대시보드](build-monitoring-dashboard.md)를 참조하세요.

# 사용 사례
<a name="use-cases"></a>

다음은이 솔루션을 사용하는 사용 사례의 예입니다. 이 목록에 국한되지 않는 혁신적인 방식으로이 솔루션을 사용자 지정할 수 있습니다.

 **AWS WAF 규칙 설정 자동화** 

AWS WAF는 일반적인 공격으로부터 웹 애플리케이션을 보호하지만 AWS WAF 규칙 설정은 복잡하고 시간이 많이 걸릴 수 있습니다. 이 솔루션은 CloudFormation 템플릿을 사용하여 AWS WAF 규칙 세트를 계정에 자동으로 배포합니다. 이렇게 하면 AWS WAF 규칙을 직접 구성할 필요가 없으며 AWS WAF를 더 빠르게 시작할 수 있습니다.

 **계층 7 HTTP Flood 보호 사용자 지정** 

이 솔루션은 HTTP Flood 보호를 활성화하는 세 가지 옵션을 제공합니다. DDoS 공격으로부터 보호하는 데 필요한 옵션을 선택할 수 있습니다. 자세한 내용은 [기능 및 이점](features-and-benefits.md)의 **사전 정의된 HTTP Flood 사용자 지정 규칙을 사용하여 계층 7 플러드 보호 제공을** 참조하세요.

 **소스 코드를 활용하여 사용자 지정을 적용하거나 자체 보안 자동화를 구축합니다.**

이 솔루션은 AWS WAF 및 기타 서비스를 사용하여 AWS 클라우드에서 보안 자동화를 구축하는 방법에 대한 예를 제공합니다. [GitHub의 오픈 소스 코드를](https://github.com/aws-solutions/aws-waf-security-automations) 사용하면 편리하게 사용자 지정을 적용하거나 필요에 맞는 자체 보안 자동화를 구축할 수 있습니다.

# 개념 및 정의
<a name="concepts-and-definitions"></a>

이 섹션에서는 주요 개념을 설명하고이 솔루션과 관련된 용어를 정의합니다.

 **ALB 로그** 

이 솔루션은 ALB 리소스에 대한 로그를 사용합니다. 이 솔루션의 **스캐너 및 프로브 보호** 규칙은 이러한 로그를 검사합니다.

 **Athena 로그 파서** 

Amazon Athena는 오픈 소스 프레임워크를 기반으로 구축된 서버리스 대화형 분석 서비스로, 오픈 테이블 및 파일 형식을 지원합니다. 이 솔루션은 사용자가 **HTTP Flood Protection** 규칙 또는 **스캐너 및 프로브** 보호 규칙을 활성화할 `yes - Amazon Athena log parser` 때를 선택하는 경우 예약된 Athena 쿼리를 실행하여 AWS WAF, CloudFront 또는 ALB 로그를 검사하며, 구조화된 로직 체인을 통해 작동하는 감지를 통해 **잘못된 봇 보호 활성화**에 사용할 수 있습니다.

 **AWS WAF 규칙** 

AWS WAF 규칙은 다음을 정의합니다.
+ HTTP(S) 웹 요청을 검사하는 방법
+ 검사 기준과 일치할 때 요청에 대해 수행할 작업

웹 ACL 또는 규칙 그룹의 컨텍스트에 있는 규칙만 정의합니다.

 **CloudFront 로그** 

이 솔루션은 CloudFront 리소스에 대한 로그를 사용합니다. 이 솔루션의 **스캐너 및 프로브 보호** 규칙은 이러한 로그를 검사합니다.

 **IP 세트** 

IP 세트는 사용하려는 IP 주소 및 IP 주소 범위 모음을 제공합니다.

규칙 문에서를 함께 사용합니다. IP 집합은 AWS 리소스입니다.

 **Lambda 로그 구문 분석기** 

이 솔루션은 [Amazon Simple Storage Service](https://aws.amazon.com/s3/)(Amazon S3) 객체 생성 [이벤트에](https://docs.aws.amazon.com/AmazonS3/latest/userguide/NotificationHowTo.html) 의해 호출되는 Lambda 함수를 실행합니다. Lambda 함수는 사용자가 **HTTP 서비스 장애 방지** , **스캐너 및 프로브 보호를** 활성화할 `yes - AWS Lambda log parser` 때 선택한 경우 AWS WAF, CloudFront 또는 ALB 로그 검사를 시작하며, 구조화된 로직 체인을 통해 작동하는 감지를 통해 **잘못된 봇 보호** 규칙에 사용할 수 있습니다.

 **관리형 규칙 그룹** 

관리형 규칙 그룹은 AWS 및 AWS Marketplace 판매자가 자동으로 작성하고 유지 관리하는 사전 정의되고 ready-to-use 수 있는 규칙 모음입니다. [AWS WAF 요금은](https://aws.amazon.com/waf/pricing/) 관리형 규칙 그룹 사용에 적용됩니다.

 **리소스/엔드포인트 유형** 

AWS 리소스를 웹 ACLs과 연결하여 보호할 수 있습니다. 이러한 리소스는 CloudFront, ALB, [AWS AppSync](https://aws.amazon.com/appsync/), [Amazon Cognito](https://aws.amazon.com/cognito/), [AWS App Runner](https://aws.amazon.com/apprunner/) 및 [AWS Verified Access](https://aws.amazon.com/verified-access/) 리소스입니다. 현재이 솔루션 Amazon은 CloudFront 및 ALB를 지원합니다.

 **WAF 로그** 

이 솔루션은 웹 ACL과 연결된 리소스에 대해 AWS WAF에서 생성된 로그를 사용합니다. 이 솔루션에 대한 **HTTP 플러드 보호**, **스캐너 및 프로브 보호**, **잘못된 봇 보호 활성화** 규칙은 이러한 로그를 검사합니다.

 **WCU** 

AWS WAF는 웹 액세스 제어 목록(ACL) 용량 단위(WCUs)를 사용하여 규칙, 규칙 그룹 및 웹 ACLs. AWS WAF는 규칙 그룹 및 웹 ACLs을 구성할 때 WCU 할당량을 적용합니다. WCUs AWS WAF가 웹 트래픽을 검사하는 방식에 영향을 주지 않습니다.

 **웹 ACL** 

웹 ACL을 사용하면 보호된 리소스가 응답하는 HTTP(S) 웹 요청을 세밀하게 제어할 수 있습니다.

**참고**  
AWS 용어에 대한 일반적인 참조는 [AWS 용어집](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html)을 참조하십시오.