기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 애플리케이션 계층 방어 (,) BP1 BP2
지금까지 이 백서에서 설명한 많은 기술은 인프라 계층 DDoS 공격이 애플리케이션 가용성에 미치는 영향을 완화하는 데 효과적입니다. 또한 애플리케이션 계층 공격을 방어하려면 악의적인 요청을 구체적으로 탐지하고 이를 흡수할 수 있도록 확장하고 차단할 수 있는 아키텍처를 구현해야 합니다. 네트워크 기반 DDoS 완화 시스템은 일반적으로 복잡한 애플리케이션 계층 공격을 방어하는 데 효과가 없기 때문에 이는 중요한 고려 사항입니다.
# 악성 웹 요청 탐지 및 필터링 (,) BP1 BP2
애플리케이션이 실행되면 Amazon CloudFront (및 해당 HTTP 캐싱 기능) AWS AWS WAF, Shield Advanced Automatic Application 계층 보호를 활용하여 애플리케이션 계층 DDoS 공격 중에 불필요한 요청이 오리진에 도달하는 것을 방지할 수 있습니다.
# 아마존 CloudFront
Amazon은 CloudFront 웹 이외의 트래픽이 오리진에 도달하는 것을 방지하여 서버 부하를 줄이는 데 도움을 줄 수 있습니다. CloudFront 애플리케이션에 요청을 보내려면 완료한 핸드셰이크를 통해 유효한 IP 주소로 연결을 설정해야 합니다. TCP 핸드셰이크는 위조할 수 없습니다. [또한 읽기 속도가 느리거나 쓰기 속도가 느린 공격자 (예: Slowloris) 의 연결을 자동으로 닫을 CloudFront 수 있습니다.](https://en.wikipedia.org/wiki/Slowloris_(computer_security))
## CDN캐싱
CloudFront AWS 엣지 로케이션에서 동적 콘텐츠와 정적 콘텐츠를 모두 제공할 수 있습니다. 캐시 가능한 프록시 콘텐츠를 캐시에서 제공하면 CDN 캐싱 기간 동안 해당 엣지 캐시 노드에서 요청이 오리진에 도달하지 못하게 할 수 있습니다. TTL 만료되었지만 캐시 가능한 콘텐츠의 [요청 축소와 함께 아주 TTL 짧더라도 해당 콘텐츠에 대한 요청이 폭주하는](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) 동안 오리진에 도달하는 요청 수는 무시할 수 없을 정도입니다. 또한 [CloudFront Origin Shield와](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) 같은 기능을 활성화하면 오리진의 부하를 줄일 수 있습니다. [캐시 적중률을 개선하기 위해 할 수 있는 모든 조치가 강력한 요청 플러드 공격과](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) 영향을 미치지 않는 요청 플러드 공격의 차이를 의미할 수 있습니다.
# AWS WAF
를 사용하면 AWS WAF전 세계 CloudFront 배포판 또는 지역 리소스에 웹 액세스 제어 목록 (웹ACLs) 을 구성하여 요청 서명을 기반으로 요청을 필터링, 모니터링 및 차단할 수 있습니다. 요청을 허용할지 차단할지를 결정하려면 IP 주소 또는 출처 국가, 요청의 특정 문자열이나 패턴, 요청의 특정 부분의 크기, 악성 SQL 코드나 스크립팅의 존재 여부 등의 요인을 고려할 수 있습니다. 요청에 대해 CAPTCHA 퍼즐을 실행하고 클라이언트 세션 챌린지를 무음으로 설정할 수도 있습니다.
CloudFront 또한 지역 제한을 설정하여 특정 국가의 요청을 차단하거나 허용할 수도 있습니다. AWS WAF 이렇게 하면 사용자에게 서비스를 제공할 것으로 예상되지 않는 지리적 위치에서의 공격을 차단하거나 공격률을 제한하는 데 도움이 될 수 있습니다. 세분화된 지리적 일치 규칙 명령문을 사용하면 지역 수준까지 액세스를 AWS WAF제어할 수 있습니다.
[Scope-Down 문을](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) 사용하여 비용 절감을 위해 규칙이 평가하는 요청의 범위를 좁히고, 웹 요청의 [“레이블”을 지정하여 요청과 일치하는 규칙이 일치 결과를 동일한 웹에서](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) 나중에 평가되는 규칙으로 전달하도록 허용할 수 있습니다. ACL 여러 규칙에서 동일한 로직을 재사용하려면 이 옵션을 선택하십시오.
응답 코드, 헤더, 본문이 포함된 완전한 사용자 지정 응답을 정의할 수도 있습니다.
악의적인 요청을 식별하는 데 도움이 되도록 웹 서버 로그를 검토하거나 AWS WAF사용자의 로깅 및 요청 샘플링을 검토하십시오. AWS WAF 로깅을 활성화하면 웹에서 분석한 트래픽에 대한 자세한 정보를 얻을 수 있습니다. ACL AWS WAF 로그 필터링을 지원하여 검사 후 로그할 웹 요청과 로그에서 삭제되는 요청을 지정할 수 있습니다.
로그에 기록되는 정보에는 AWS 리소스로부터 요청을 AWS WAF 받은 시간, 요청에 대한 세부 정보, 요청된 각 규칙에 대한 매칭 작업 등이 포함됩니다.
샘플링된 요청은 지난 3시간 이내에 규칙 중 하나와 일치하는 요청에 대한 세부 정보를 제공합니다. AWS WAF 이 정보를 사용하여 악의적일 수 있는 트래픽 시그니처를 식별하고 이러한 요청을 거부하는 새 규칙을 만들 수 있습니다. 무작위 쿼리 문자열이 포함된 요청이 여러 개 있는 경우 애플리케이션의 캐시와 관련된 쿼리 문자열 매개변수만 허용해야 합니다. 이 기법은 오리진에 대한 캐시 무효화 공격을 완화하는 데 유용합니다.
# AWS WAF — 속도 기반 규칙
AWS 5분 슬라이딩 윈도우 내에 수신된 HTTP 요청 수가 사용자가 정의한 임계값을 AWS WAF 초과할 경우 속도 기반 규칙을 사용하여 악의적인 행위자의 IP 주소를 자동으로 차단하여 요청 폭주를 방지할 것을 강력히 권장합니다. 문제가 되는 클라이언트 IP 주소는 403 금지된 응답 (또는 구성된 블록 오류 응답) 을 받게 되며 요청 비율이 임계값 아래로 떨어질 때까지 차단된 상태를 유지합니다.
속도 기반 규칙을 계층화하여 향상된 보호 기능을 제공하여 다음과 같은 효과를 얻을 수 있도록 하는 것이 좋습니다.
+ 대규모 홍수로부터 애플리케이션을 보호하기 위한 포괄적인 요금 기반 규칙. HTTP
+ 총괄 요율 기반 규칙보다 더 제한적인 요율로 특정 항목을 보호하는 URIs 하나 이상의 요금 기반 규칙.
예를 들어 5분 내에 요청 500개로 제한하는 총괄 요금 기반 규칙 (범위 축소 설명 없음) 을 선택한 다음 범위 축소 명령문을 사용하여 500개 (5분 동안 최소 100개 요청) 보다 낮은 다음 속도 기반 규칙 중 하나 이상을 생성할 수 있습니다.
+ 파일 확장자가 없는 리소스에 대한 요청도 추가로 보호되도록 `if NOT uri_path contains '.'` "“와 같은 범위 축소 명령문을 사용하여 **웹 페이지를** 보호하십시오. 이렇게 하면 자주 타겟팅되는 경로인 홈페이지 (`/`) 도 보호됩니다. URI
+ “" 와 같은 범위 축소 명령문을 사용하여 **동적 엔드포인트를** 보호하십시오. `if method exactly matches 'post' (convert lowercase)`
+ 데이터베이스에 도달하거나 "“와 같이 범위가 축소된 일회용 암호 (OTP) 를 호출하는 **과도한 요청을** 보호합니다. `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`
“차단” 모드의 속도 기반 모드는 요청 폭주로부터 보호하기 위한 defense-in-depth WAF 구성의 초석이며 비용 보호 요청을 승인하기 위한 요구 사항입니다. AWS Shield Advanced 다음 섹션에서 추가 defense-in-depth WAF 구성을 살펴보겠습니다.
# AWS WAF — IP 평판
IP 주소 평판에 기반한 공격을 방지하려면 IP 매칭을 사용하여 규칙을 만들거나 [관리형 규칙을](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) 사용할 수 AWS WAF있습니다.
[Amazon의 IP 평판 목록 규칙 그룹에는](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) Amazon의 내부 위협 인텔리전스에 기반한 규칙이 포함됩니다. 이 규칙은 AWS 리소스를 정찰하거나 활동에 적극적으로 참여하는 봇인 IP 주소를 찾습니다. DDoS 이 `AWSManagedIPDDoSList` 규칙은 악성 요청 플러드의 90% 이상을 차단하는 것으로 확인되었습니다.
[익명 IP 목록 규칙 그룹에는 시청자](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) 신원을 모호하게 만들 수 있는 서비스의 요청을 차단하는 규칙이 포함되어 있습니다. 여기에는VPNs, 프록시, Tor 노드 및 클라우드 플랫폼 (제외) 으로부터의 요청이 포함됩니다. AWS
또한 [솔루션용 보안 자동화의](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html) IP 목록 [파서 구성 요소를 사용하여 타사 IP 평판 목록을](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) 활용할 수 있습니다. AWS WAF
# AWS WAF - 지능형 위협 완화
봇넷은 심각한 보안 위협이며 일반적으로 스팸 전송, 민감한 데이터 도용, 랜섬웨어 공격 시작, 부정 클릭을 통한 광고 사기 또는 분산 () 공격과 같은 불법적이거나 유해한 활동을 수행하는 데 사용됩니다. denial-of-service DDoS [봇 공격을 방지하려면 Bot Control 관리 규칙 그룹을 사용하십시오.AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) 이 규칙 그룹은 자체 식별 봇에 레이블을 추가하고, 일반적으로 바람직한 봇을 확인하고, 신뢰도가 높은 봇 서명을 탐지하는 기본적인 “공통” 보호 수준과 자체 식별이 불가능한 고급 봇에 대한 탐지를 추가하는 “표적” 보호 수준을 제공합니다.
표적 보호는 브라우저 조사, 핑거프린팅, 행동 휴리스틱과 같은 고급 탐지 기술을 사용하여 잘못된 봇 트래픽을 식별한 다음 속도 제한 CAPTCHA 및 챌린지 규칙 조치와 같은 완화 제어를 적용합니다. 또한 Targeted는 사람과 유사한 액세스 패턴을 적용하고 요청 토큰을 사용하여 동적 속도 제한을 적용하는 속도 제한 옵션을 제공합니다. 자세한 내용은 [AWS WAF 봇](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) 제어 규칙 그룹을 참조하십시오. 애플리케이션의 로그인 페이지에서 악의적인 도용 시도를 탐지하고 관리하려면 AWS WAF Fraud Control 계정 도용 방지 (ATP) 규칙 그룹을 사용할 수 있습니다. 규칙 그룹은 클라이언트가 애플리케이션의 로그인 엔드포인트로 보내는 로그인 시도를 검사하고 로그인 시도에 대한 애플리케이션의 응답을 검사하여 성공률과 실패율을 추적함으로써 이를 수행합니다.
계정 생성 사기는 공격자가 하나 이상의 허위 계정을 만들려고 하는 온라인 불법 활동입니다. 공격자는 허위 계정을 사용하여 프로모션 및 가입 보너스를 남용하거나 누군가를 사칭하는 사기 활동과 피싱 등의 사이버 공격을 수행합니다. 허위 계정이 존재하면 고객에 대해 평판이 손상되고 금융 사기에 노출되어 비즈니스에 부정적인 영향이 미칠 수 있습니다.
Fraud Control 계정 생성 사기 방지 (ACFP) 기능을 구현하여 계정 생성 AWS WAF 사기 시도를 모니터링하고 제어할 수 있습니다. AWS WAF 이 기능을 컴패니언 애플리케이션 `AWS ManagedRulesACFPRuleSet` 통합과 함께 AWS Managed Rules 규칙 그룹에서 제공합니다SDKs.
[https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html) 이러한 보호 기능에 대해 자세히 알아보십시오.
# 애플리케이션 계층 DDoS 이벤트를 자동으로 완화 (,,) BP1 BP2 BP6
에 AWS Shield Advanced가입한 경우 [Shield Advanced 자동 애플리케이션](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [계층 DDoS 완화를](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) 활성화할 수 있습니다. 이 기능은 사용자를 대신하여 계층 7 DDoS 이벤트를 완화하기 위한 AWS WAF 규칙을 자동으로 생성, 평가 및 배포합니다.
AWS Shield Advanced 웹과 관련된 각 보호 리소스에 대한 트래픽 기준을 설정합니다. WAF ACL 설정된 기준선을 크게 벗어나는 트래픽은 잠재적 이벤트로 플래그가 지정됩니다. DDoS 이벤트가 감지되면 이벤트를 구성하는 웹 요청의 시그니처를 AWS Shield Advanced 식별하려고 시도하고, 시그니처가 식별되면 해당 시그니처로 트래픽을 완화하기 위한 AWS WAF 규칙이 생성됩니다.
규칙이 이전 기준과 비교하여 평가되고 안전하다고 판단되면 해당 규칙은 Shield 관리 규칙 그룹에 추가되며 규칙을 카운트 모드로 배포할지 블록 모드로 배포할지 선택할 수 있습니다. Shield Advanced는 이벤트가 완전히 진정된 것으로 확인되면 AWS WAF 규칙을 자동으로 제거합니다.
# 참여 SRT (Shield 어드밴스드 구독자만 해당)
또한 Shield Advanced에 가입하면 애플리케이션 가용성을 저해하는 공격을 완화하는 규칙을 만드는 데 도움을 받을 수 있습니다. AWS SRT 계정 및 계정에 AWS SRT 제한된 액세스 권한을 부여할 수 있습니다. AWS Shield Advanced AWS WAF APIs AWS SRT사용자가 명시적으로 승인한 경우에만 이러한 APIs 기능에 액세스하여 사용자 계정에 완화 조치를 적용합니다. 자세한 내용은 이 문서의 [지원](support.md) 섹션을 참조하십시오.
를 AWS Firewall Manager 사용하여 조직 전체에서 AWS Shield Advanced 보호 및 규칙과 같은 보안 규칙을 중앙에서 구성하고 관리할 수 있습니다. AWS WAF AWS Organizations 관리 계정은 Firewall Manager 정책을 생성할 권한이 있는 관리자 계정을 지정할 수 있습니다. 이러한 정책을 통해 규칙 적용 위치를 결정하는 리소스 유형 및 태그와 같은 기준을 정의할 수 있습니다. 이는 계정이 여러 개이고 보호를 표준화하려는 경우에 유용합니다.
해당 내용은 다음을 참조하세요.
+ AWS Managed Rules [에 대해서는 AWS WAF for를 참조하십시오.AWS Managed RulesAWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html)
+ 지리적 제한을 사용하여 CloudFront 배포에 대한 액세스를 [제한하려면 콘텐츠의 지리적 배포](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html) 제한을 참조하십시오.
+ 사용 시 AWS WAF다음을 참조하십시오.
+ [시작하기 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
+ [웹 ACL 트래픽 정보 로깅](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [웹 요청 샘플 보기](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample)
+ 속도 기반 규칙 구성은 [속도 기반 규칙을 사용하여 웹 사이트 및 서비스 보호를](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) 참조하십시오. AWS WAF
+ Firewall Manager를 사용하여 AWS 리소스 전반의 규칙 배포를 관리하는 방법은 다음을 참조하십시오.
+ [방화벽 관리자 AWS WAF 정책 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html)
+ [방화벽 관리자 쉴드 고급 정책 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html)