기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 완화 기법
일부 형태의 DDoS 완화 기능은 서비스에 자동으로 포함됩니다. AWS DDoS다음 섹션에서 설명하는 특정 서비스가 포함된 AWS 아키텍처를 사용하고 사용자와 애플리케이션 간 네트워크 흐름의 각 부분에 대한 추가 모범 사례를 구현하면 복원력을 더욱 개선할 수 있습니다.
Amazon, AWS Global Accelerator CloudFront, Amazon Route 53과 같은 엣지 로케이션에서 운영되는 AWS 서비스를 사용하여 알려진 모든 인프라 계층 공격에 대한 포괄적인 가용성 보호를 구축할 수 있습니다. 이러한 서비스는 [AWS 글로벌 에지 네트워크의 일부이며, 전 세계에 분산된 엣지](https://aws.amazon.com/products/networking/edge-networking/) 로케이션에서 모든 유형의 애플리케이션 트래픽을 처리할 때 애플리케이션의 DDoS 복원력을 개선할 수 있습니다. 어느 곳에서나 AWS 리전애플리케이션을 실행하고 이러한 서비스를 사용하여 애플리케이션 가용성을 보호하고 합법적인 최종 사용자를 위해 애플리케이션 성능을 최적화할 수 있습니다.
Amazon CloudFront, 글로벌 액셀러레이터, Amazon Route 53을 사용하면 다음과 같은 이점이 있습니다.
+ AWS 글로벌 에지 네트워크 전반에서 인터넷 및 DDoS 완화 용량에 액세스할 수 있습니다. 이는 테라비트 규모에 이를 수 있는 대규모 공격을 완화하는 데 유용합니다.
+ AWS Shield DDoS완화 시스템은 AWS 에지 서비스와 통합되어 몇 분에서 1초 미만으로 time-to-mitigate 단축됩니다.
+ 스테이트리스 SYN 플러드 완화 기능은 들어오는 연결을 보호 서비스에 전달하기 전에 SYN 쿠키를 사용하여 들어오는 연결을 확인합니다. 이렇게 하면 유효한 연결만 애플리케이션에 도달할 수 있고 합법적인 최종 사용자는 오탐지가 발생하지 않도록 보호할 수 있습니다.
+ 대규모 공격의 영향을 분산하거나 격리하는 자동 트래픽 엔지니어링 시스템. DDoS 이러한 모든 서비스는 공격이 오리진에 도달하기 전에 소스에서 공격을 격리하므로 이러한 서비스로 보호되는 시스템에 미치는 영향이 줄어듭니다.
+ 애플리케이션 계층 방어와 함께 CloudFront 사용하면 [AWS WAF](https://aws.amazon.com/waf/)현재 애플리케이션 아키텍처 (예: 온프레미스 데이터 센터) 를 AWS 리전 변경할 필요가 없습니다.
인바운드 데이터 전송에는 요금이 부과되지 않으며 이를 통해 AWS 차단되는 DDoS 공격 트래픽에 대해서는 비용을 지불하지 않습니다. AWS Shield다음 아키텍처 다이어그램에는 AWS 글로벌 에지 네트워크 서비스가 포함되어 있습니다.
![\[DDoS복원력이 뛰어난 참조 아키텍처를 보여주는 다이어그램\]](http://docs.aws.amazon.com/ko_kr/whitepapers/latest/aws-best-practices-ddos-resiliency/images/ddos-resilient-ref-arch.png)
이 아키텍처에는 공격에 대한 웹 애플리케이션의 복원력을 향상시키는 데 도움이 되는 여러 AWS 서비스가 포함되어 있습니다. DDoS 다음 표에는 이러한 서비스와 해당 서비스가 제공할 수 있는 기능이 요약되어 있습니다. AWS 이 문서에서 쉽게 참조할 수 있도록 각 서비스에 모범 사례 지표 (BP1,BP2) 태그를 붙였습니다. 예를 들어 다음 섹션에서는 모범 사례 지표를 포함하여 CloudFront Amazon과 Global Accelerator에서 제공하는 기능에 대해 설명합니다. BP1
*표 2 - 모범 사례 요약*
| | AWS 엣지 | AWS 리전 |
| --- | --- | --- |
| | Amazon CloudFront (BP1) 을 () 와 함께 AWS WAF 사용 BP2 | 글로벌 액셀러레이터 사용 () BP1 | 아마존 루트 53 사용 (BP3) | (BP6) 와 함께 Elastic Load Balancing AWS WAF (BP2) 사용 | ACLsAmazon에서 보안 그룹 및 네트워크 사용 VPC (BP5) | [아마존 엘라스틱 컴퓨트 클라우드 (AmazonEC2) Auto Scaling](https://aws.amazon.com/pm/ec2/) (BP7) 사용 |
| 레이어 3 (예: UDP 리플렉션) 공격 완화 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 레이어 4 (예: SYN 플러드) 공격 완화 | ✔ | ✔ | ✔ | ✔ | | |
| 레이어 6 (예:TLS) 공격 완화 | ✔ | ✔ | ✔ | ✔ | | |
| 공격 표면 감소 | ✔ | ✔ | ✔ | ✔ | ✔ | |
| 애플리케이션 계층 트래픽을 흡수하도록 확장할 수 있습니다. | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 계층 7 (애플리케이션 계층) 공격 완화 | ✔ | ✔(\$1) | ✔ | ✔ | ✔(\$1) | ✔(\$1) |
| 과도한 트래픽과 대규모 공격의 지리적 격리 및 분산 DDoS | ✔ | ✔ | ✔ | | | |
✔ (\$1): [Application Load AWS WAF Balancer와](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/introduction.html) 함께 사용하는 경우
DDoS공격에 대응하고 공격을 방어하기 위한 준비 상태를 개선하는 또 다른 방법은 구독하는 것입니다. AWS Shield Advanced사용의 이점은 다음과 같습니다. AWS Shield Advanced
+ 애플리케이션 가용성에 영향을 미치는 DDoS 공격을 완화하는 데 필요한 지원을 위해 [AWS Shield 대응팀](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-srt-support.html) (AWS SRT) 의 연중무휴 전문 지원을 이용할 수 있으며, 여기에는 선택적 사전 참여 기능이 포함됩니다.
+ 트래픽을 DDoS 완화 시스템으로 조기에 라우팅하고 엘라스틱 IP 주소와 함께 사용할 경우 Amazon EC2 (Elastic Load Balancer 포함) 또는 Network Load Balancer에 대한 time-to-mitigate 공격을 개선할 수 있는 민감한 탐지 임계값
+ 다음과 함께 사용할 경우 애플리케이션의 기준 트래픽 패턴을 기반으로 하는 맞춤형 계층 7 탐지 AWS WAF
+ Shield Advanced가 사용자 지정 규칙을 생성, 평가 및 배포하여 탐지된 DDoS 공격에 대응하는 자동 애플리케이션 계층 DDoS 완화 AWS WAF
+ 애플리케이션 계층 DDoS 공격 완화를 위해 추가 비용 없이 액세스 가능 (Amazon CloudFront 또는 Application Load Balancer와 함께 사용하는 경우) AWS WAF
+ 추가 비용 없이 보안 정책을 중앙 집중식으로 관리합니다. [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/)
+ 공격으로 인한 규모 조정 관련 비용을 제한적으로 환불해 줄 수 있는 비용 보호. DDoS
+ 고객별로 적용되는 AWS Shield Advanced 향상된 서비스 수준 계약.
+ 보호 그룹을 사용하면 리소스를 묶을 수 있으며, 여러 리소스를 단일 단위로 취급하여 애플리케이션의 탐지 및 완화 범위를 사용자 지정하는 셀프 서비스 방식을 제공합니다. 보호 그룹에 대한 자세한 내용은 [Shield](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups) [Advanced 보호 그룹을 참조하십시오.](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html#ddos-advanced-protection-groups)
+ DDoS[AWS Management Console](https://aws.amazon.com/console/),API, Amazon CloudWatch [지표와](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/working_with_metrics.html) [경보를](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) 사용하여 공격을 파악할 수 있습니다.
이 선택적 DDoS 완화 서비스는 어느 곳에서나 호스팅되는 애플리케이션을 보호하는 데 도움이 됩니다. AWS 리전이 서비스는 Route 53 및 글로벌 액셀러레이터에서 전 세계적으로 사용할 수 있습니다. CloudFront [지역적으로는 Application Load Balancer, Classic Load Balancer 및 엘라스틱 IP 주소를 보호하여 Network Load [Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) () 또는 Amazon 인스턴스를 보호할 수 있습니다. NLBs EC2](https://aws.amazon.com/ec2/)
[전체 AWS Shield Advanced 기능 목록과 이에 AWS Shield대한 자세한 내용은 작동 방식을 참조하십시오. AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html)
# DDoS완화 모범 사례
다음 섹션에서는 각 권장 DDoS 완화 모범 사례에 대해 자세히 설명합니다. 정적 또는 동적 웹 애플리케이션을 위한 DDoS 완화 계층을 구축하는 [방법에 대한 간략한 easy-to-implement 지침은 [Amazon CloudFront 및 Amazon Route 53을 사용하여 DDoS](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) 공격으로부터 동적 웹 애플리케이션을 보호하는](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) 방법을 참조하십시오.
# 인프라 계층 방어 (BP1,, BP3BP6,BP7)
기존 데이터 센터 환경에서는 용량 오버프로비저닝, 완화 시스템 배포 또는 DDoS 완화 서비스를 통한 트래픽 스크러빙과 같은 기술을 사용하여 인프라 계층 DDoS 공격을 완화할 수 있습니다. DDoS 활성화되면 DDoS 완화 기능이 자동으로 제공되지만 AWS, 이러한 기능을 가장 잘 활용하고 과도한 트래픽에 대비해 확장할 수 있는 아키텍처를 선택하여 애플리케이션의 DDoS 복원력을 최적화할 수 있습니다.
대량 DDoS 공격을 완화하는 데 도움이 되는 주요 고려 사항에는 충분한 전송 용량과 다양성을 확보하고 Amazon EC2 인스턴스와 같은 AWS 리소스를 공격 트래픽으로부터 보호하는 것이 포함됩니다.
일부 Amazon EC2 인스턴스 유형은 대용량 트래픽을 보다 쉽게 처리할 수 있는 기능 (예: 최대 100Gbps의 네트워크 대역폭 인터페이스 및 향상된 네트워킹) 을 지원합니다. 이를 통해 Amazon EC2 인스턴스에 도달한 트래픽의 인터페이스 혼잡을 방지할 수 있습니다. 향상된 네트워킹을 지원하는 인스턴스는 기존 구현에 비해 더 높은 입출력 (I/O) 성능, 더 높은 대역폭, 낮은 CPU 사용률을 제공합니다. 이를 통해 인스턴스의 대용량 트래픽 처리 능력이 향상되고 궁극적으로 초당 패킷 수 (pps) 부하에 대한 복원력이 높아집니다.
이러한 높은 수준의 복원력을 허용하려면 [Amazon EC2 전용 인스턴스](https://aws.amazon.com/ec2/pricing/dedicated-instances/) 또는 “`N`" 접미사가 있고 네트워크 대역폭이 최대 100Gbps인 향상된 네트워킹을 지원하는 네트워킹 처리량이 더 높은 Amazon EC2 인스턴스 `c5n.18xlarge` 또는 메탈 인스턴스 (예:) 를 사용하는 것이 좋습니다. AWS `c6gn.16xlarge` `c5n.metal`
100기가비트 네트워크 인터페이스와 향상된 네트워킹을 지원하는 Amazon EC2 인스턴스에 대한 자세한 내용은 [Amazon EC2 인스턴스 유형을](https://aws.amazon.com/ec2/instance-types/) 참조하십시오.
향상된 네트워킹에 필요한 모듈과 필수 `enaSupport` 속성 세트는 Amazon Linux 2 및 최신 버전의 Amazon Linux에 포함되어 AMI 있습니다. 따라서 지원되는 인스턴스 유형에서 Amazon Linux의 하드웨어 가상 머신 (HVM) 버전으로 인스턴스를 시작하면 인스턴스에 향상된 네트워킹이 이미 활성화되어 있습니다. 자세한 내용은 [향상된 네트워킹 활성화 여부 테스트](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking-ena.html#test-enhanced-networking-ena) 및 [Linux에서의 향상된 네트워킹을](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/enhanced-networking.html) 참조하십시오.
# Auto EC2 Scaling을 지원하는 아마존 (BP7)
인프라 및 애플리케이션 계층 공격을 모두 완화하는 또 다른 방법은 대규모로 운영하는 것입니다. 웹 애플리케이션이 있는 경우 로드 밸런서를 사용하여 오버프로비저닝되거나 자동으로 확장되도록 구성된 여러 Amazon EC2 인스턴스로 트래픽을 분산할 수 있습니다. 이러한 인스턴스는 플래시 크라우드 또는 애플리케이션 계층 공격을 포함하여 어떤 이유로든 발생하는 갑작스러운 트래픽 급증을 처리할 수 있습니다. DDoS 사용자가 정의한 이벤트 (예: 네트워크 I/O 및 사용자 지정 지표) 에 따라 Amazon EC2 플릿 크기를 자동으로 조정하도록 Auto Scaling을 시작하도록 Amazon [ CloudWatch 경보를](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html) 설정할 수 있습니다. CPU RAM
이 접근 방식은 요청량이 예기치 않게 증가할 때 애플리케이션 가용성을 보호합니다. Amazon CloudFront, 애플리케이션 로드 밸런서, 클래식 로드 밸런서 또는 Network Load Balancer를 애플리케이션과 함께 사용하는 TLS 경우 협상은 배포 ( CloudFrontAmazon) 또는 로드 밸런서에서 처리합니다. 이러한 기능은 합법적인 요청과 오용 공격을 처리하도록 확장하여 TLS 기반 공격의 영향을 받지 않도록 인스턴스를 보호하는 데 도움이 됩니다. TLS
Amazon을 사용하여 Auto CloudWatch Scaling을 호출하는 방법에 대한 자세한 내용은 Auto Scaling [그룹 및 인스턴스에 대한 Amazon CloudWatch 측정치 모니터링을](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html) 참조하십시오.
EC2Amazon은 크기 조정이 가능한 컴퓨팅 파워를 제공하므로 요구 사항의 변화에 따라 빠르게 규모를 확장하거나 축소할 수 있습니다. [Amazon EC2 Auto Scaling 그룹의 크기를 조정하여](https://docs.aws.amazon.com/autoscaling/ec2/userguide/scaling_plan.html) 애플리케이션에 인스턴스를 자동으로 추가하여 수평적으로 확장할 수 있고, 더 큰 EC2 인스턴스 유형을 사용하여 수직으로 확장할 수 있습니다.
[Amazon RDS Proxy를](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-proxy.html) 사용하면 애플리케이션이 데이터베이스 연결을 풀링하고 공유하도록 허용하여 애플리케이션이 데이터베이스 트래픽의 예상치 못한 급증을 확장하고 처리하는 능력을 개선할 수 있습니다. Amazon RDS 데이터베이스 인스턴스에 대해 스토리지 자동 크기 조정을 활성화할 수도 있습니다. 자세한 내용은 [Amazon RDS 스토리지 자동 확장을 통한 자동 용량 관리를](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_PIOPS.StorageTypes.html#USER_PIOPS.Autoscaling) 참조하십시오.
# Elastic Load Balancing (BP6)
대규모 DDoS 공격은 단일 Amazon EC2 인스턴스의 용량을 압도할 수 있습니다. Elastic Load Balancing (ELB) 을 사용하면 많은 백엔드 인스턴스에 트래픽을 분산하여 애플리케이션 과부하 위험을 줄일 수 있습니다. Elastic Load Balancing은 자동으로 확장할 수 있으므로, 예를 들어 플래시 크라우드나 공격으로 인해 예상치 못한 추가 트래픽이 발생할 경우 더 큰 볼륨을 관리할 수 있습니다. DDoS VPC아마존에서 빌드한 애플리케이션의 경우 애플리케이션 유형에 따라 애플리케이션 로드 밸런서 (), 네트워크 로드 밸런서 (ALB), 클래식 로드 밸런서 () 등 세 가지 유형을 고려해야 합니다. ELBs NLB CLB
웹 애플리케이션의 경우 Application Load Balancer를 사용하여 콘텐츠를 기반으로 트래픽을 라우팅하고 올바른 형식의 웹 요청만 수락할 수 있습니다. Application Load Balancer는 SYN 플러드 또는 UDP 리플렉션 공격과 같은 여러 가지 일반적인 DDoS 공격을 차단하여 애플리케이션을 공격으로부터 보호합니다. Application Load Balancer는 이러한 유형의 공격이 탐지되면 추가 트래픽을 흡수하도록 자동으로 확장됩니다. 인프라 계층 공격으로 인한 규모 조정 활동은 AWS 고객에게 투명하며 청구서에는 영향을 미치지 않습니다.
Application Load Balancer를 사용하여 웹 애플리케이션을 보호하는 방법에 대한 자세한 내용은 [애플리케이션 로드 밸런서 시작하기를](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancer-getting-started.html) 참조하십시오.
HTTP/이외의 HTTPS 애플리케이션의 경우 Network Load Balancer를 사용하여 매우 짧은 지연 시간으로 트래픽을 대상 (예: Amazon EC2 인스턴스) 으로 라우팅할 수 있습니다. Network Load Balancer의 주요 고려 사항 중 하나는 유효한 리스너의 로드 밸런서에 도달하는 모든 TCP SYN 또는 UDP 트래픽이 흡수되지 않고 대상으로 라우팅된다는 것입니다. 하지만 연결을 종료하는 TLS -listeners에는 적용되지 않습니다. TCP TCP리스너가 있는 네트워크 로드 밸런서의 경우 플러드를 방지하기 위해 글로벌 액셀러레이터를 배포하는 것이 좋습니다. SYN
Shield Advanced를 사용하여 엘라스틱 IP 주소에 대한 DDoS 보호를 구성할 수 있습니다. 가용 영역별로 엘라스틱 IP 주소를 Network Load Balancer에 할당하면 Shield Advanced는 Network Load Balancer DDoS 트래픽에 대한 관련 보호를 적용합니다.
Network Load Balancer를 사용한 보호 TCP 및 UDP 애플리케이션에 대한 자세한 내용은 [네트워크 로드 밸런서 시작하기를](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/network-load-balancer-getting-started.html) 참조하십시오.
**참고**
보안 그룹 구성에 따라 연결 추적을 사용하여 트래픽에 대한 정보를 추적하려면 보안을 사용하는 리소스가 필요합니다. 이 경우 추적되는 연결 수가 제한되므로 로드 밸런서가 새 연결을 처리하는 기능에 영향을 미칠 수 있습니다.
IP 주소 (예: `0.0.0.0/0` 또는`::/0`) 의 트래픽을 수락하는 인그레스 규칙이 포함되어 있지만 응답 트래픽을 허용하는 해당 규칙이 없는 보안 그룹 구성은 보안 그룹이 연결 추적 정보를 사용하여 응답 트래픽이 전송되도록 허용합니다. DDoS공격이 발생할 경우 추적된 최대 연결 수가 소진될 수 있습니다. 공용 Application Load Balancer 또는 Classic Load Balancer의 DDoS 복원력을 개선하려면 로드 밸런서와 연결된 보안 그룹이 연결 추적 (추적되지 않은 연결) 을 사용하지 않도록 구성하여 트래픽 흐름에 연결 추적 제한이 적용되지 않도록 해야 합니다.
이를 위해 인바운드 규칙이 모든 IP 주소 (`0.0.0.0/0`또는`::/0`) 의 TCP 흐름을 받아들이도록 허용하는 규칙으로 보안 그룹을 구성하고, 이 리소스가 응답 트래픽 (모든 IP 주소에 대한 아웃바운드 범위 허용 `0.0.0.0/0` 또는 모든 포트 (0-65535`::/0`) 을 전송할 수 있도록 아웃바운드 방향에 해당 규칙을 추가하여 응답 트래픽이 추적 정보가 아닌 보안 그룹 규칙을 기반으로 허용되도록 합니다. 이 구성을 사용하면 Classic 및 Application Load Balancer에 로드 밸런서 노드에 대한 새 연결 설정에 영향을 미칠 수 있는 배기 연결 추적 제한이 적용되지 않으므로 공격 발생 시 트래픽 증가에 따라 확장할 수 있습니다. DDoS 추적되지 않은 연결에 대한 자세한 내용은 [보안 그룹 연결 추적: 추적되지 않은 연결을](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html#untracked-connections) 참조하십시오.
보안 그룹 연결 추적을 피하면 DDoS 트래픽이 보안 그룹에서 허용한 소스에서 발생하는 경우에만 도움이 됩니다. 보안 그룹에서 허용되지 않는 소스의 DDoS 트래픽은 연결 추적에 영향을 주지 않습니다. 이러한 경우에는 연결 추적을 피하도록 보안 그룹을 재구성할 필요가 없습니다. 예를 들어, 보안 그룹 허용 목록이 회사 방화벽이나 신뢰할 수 있는 VPN IPs 송신 등과 같이 신뢰도가 높은 IP 범위로 구성된 경우에는 더욱 그렇습니다. CDNs
# 확장 (BP1,) 에는 AWS 엣지 로케이션을 사용하십시오. BP3
확장성이 뛰어나고 다양한 인터넷 연결에 액세스하면 지연 시간과 사용자 처리량을 최적화하고, DDoS 공격을 흡수하고, 결함을 격리하는 동시에 애플리케이션 가용성에 미치는 영향을 최소화하는 능력이 크게 향상될 수 있습니다. AWS 엣지 로케이션은 Amazon CloudFront, 글로벌 액셀러레이터 및 Amazon Route 53을 사용하는 모든 웹 애플리케이션에 이러한 이점을 제공하는 네트워크 인프라의 추가 계층을 제공합니다. 이러한 서비스를 사용하면 애플리케이션을 실행하는 엣지에서 포괄적으로 보호할 수 있습니다. AWS 리전
# 엣지에서의 웹 애플리케이션 딜리버리 () BP1
CloudFront Amazon은 정적, 동적, 스트리밍 및 대화형 콘텐츠를 포함한 전체 웹 사이트를 전송하는 데 사용할 수 있는 서비스입니다. 캐시 가능한 콘텐츠를 제공하지 않는 경우에도 영구 연결 및 변수 time-to-live (TTL) 설정을 사용하여 오리진으로부터 트래픽을 오프로드할 수 있습니다. 이러한 CloudFront 기능을 사용하면 오리진에 다시 돌아가는 요청 및 TCP 연결 수가 줄어들어 웹 애플리케이션을 홍수로부터 보호하는 데 도움이 됩니다. HTTP
CloudFront 올바른 형식의 연결만 허용하므로 SYN 플러드 및 UDP 리플렉션 DDoS 공격과 같은 많은 일반적인 공격이 오리진에 도달하지 못하도록 방지할 수 있습니다. DDoS또한 공격은 소스 근처에서 지리적으로 격리되므로 트래픽이 다른 위치에 영향을 미치지 않습니다. 이러한 기능을 사용하면 대규모 공격 중에도 사용자에게 트래픽을 계속 제공할 수 있는 능력이 크게 향상될 수 있습니다. DDoS 를 CloudFront 사용하여 인터넷상의 AWS 또는 다른 곳에서 오리진을 보호할 수 있습니다.
[Amazon Simple Storage Service](https://aws.amazon.com/s3/) (Amazon S3) 를 사용하여 인터넷에서 정적 콘텐츠를 제공하는 경우 다음과 같은 이점을 제공하는 CloudFront Amazon을 사용하여 버킷을 보호할 AWS 것을 권장합니다.
+ Amazon S3 버킷에 대한 액세스를 제한하여 공개적으로 액세스할 수 없도록 합니다.
+ 최종 사용자 (사용자) 가 지정된 CloudFront 배포를 통해서만 버킷의 콘텐츠에 액세스할 수 있도록 합니다. 즉, 시청자가 버킷에서 직접 또는 의도하지 않은 배포를 통해 콘텐츠에 액세스하는 것을 방지합니다. CloudFront
이를 위해서는 Amazon S3에 인증된 요청을 CloudFront 전송하도록 구성하고 Amazon S3에서 인증된 요청에만 액세스를 허용하도록 구성하십시오. CloudFront CloudFront Amazon S3 오리진에 인증된 요청을 보내는 두 가지 방법, 즉 원본 액세스 제어 (OAC) 와 원본 액세스 ID (OAI) 를 제공합니다. 다음을 OAC 지원하므로 사용하는 것이 좋습니다.
+ 2022년 12월 이후에 출시된 옵트인 지역을 AWS 리전포함한 모든 Amazon S3 버킷
+ AWS KMS (SSE-) 를 사용한 Amazon S3 [서버 측 암호화](https://docs.aws.amazon.com/AmazonS3/latest/userguide/serv-side-encryption.html) KMS
+ Amazon S3에 대한 동적 요청(`PUT` 및 `DELETE`)
OAC및 OAI 에 대한 자세한 내용은 [Amazon S3 오리진에 대한 액세스 제한을](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) 참조하십시오.
Amazon을 통한 웹 애플리케이션의 보호 및 성능 최적화에 대한 자세한 내용은 Amazon CloudFront [시작하기를](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GettingStarted.html) 참조하십시오. CloudFront
# AWS 글로벌 액셀러레이터 () 를 사용하여 오리진으로부터 멀리 떨어진 네트워크 트래픽을 보호하십시오. BP1
글로벌 액셀러레이터는 사용자 트래픽의 가용성과 성능을 최대 60% 향상시키는 네트워킹 서비스입니다. 이는 사용자와 가장 가까운 엣지 로케이션에서 트래픽을 수신하고 이를 AWS 글로벌 네트워크 인프라를 통해 애플리케이션으로 라우팅함으로써 가능합니다 (단일 또는 다중 실행). AWS 리전
Global Accelerator는 TCP 사용자와 가장 가까운 AWS 리전 위치에서의 성능을 기반으로 최적의 엔드포인트로 UDP 트래픽을 라우팅합니다. 애플리케이션에 장애가 발생하는 경우 Global Accelerator는 30초 내에 차상위 엔드포인트로 페일오버를 제공합니다. Global Accelerator는 AWS 글로벌 네트워크의 방대한 용량과 Shield와의 통합 (예: 새로운 연결 시도에 도전하고 합법적인 최종 사용자에게만 서비스를 제공하는 상태 비저장 SYN 프록시 기능) 을 사용하여 애플리케이션을 보호합니다.
애플리케이션이 지원되지 않는 프로토콜을 CloudFront 사용하거나 글로벌 고정 IP 주소가 필요한 웹 애플리케이션을 운영하는 경우에도 엣지에서의 웹 애플리케이션 딜리버리 모범 사례와 동일한 많은 이점을 제공하는 DDoS 탄력적인 아키텍처를 구현할 수 있습니다.
예를 들어 최종 사용자가 방화벽의 허용 목록에 추가할 수 있고 다른 AWS 고객은 사용하지 않는 IP 주소를 요구할 수 있습니다. 이러한 시나리오에서는 Global Accelerator를 사용하여 Application Load Balancer에서 실행되는 웹 애플리케이션을 보호하고 웹 애플리케이션 계층 요청 플러드를 탐지 및 완화할 수 있습니다. AWS WAF
[글로벌 액셀러레이터를 사용하여 네트워크 트래픽을 보호하고 성능을 최적화하는 방법에 대한 자세한 내용은 글로벌 액셀러레이터 시작하기를 참조하십시오.](https://docs.aws.amazon.com/global-accelerator/latest/dg/getting-started.html)
# 엣지에서의 도메인 이름 확인 () BP3
**Topics**
+ [DNS가용성을 위해 Route 53 사용하기](using-route53-for-dns-availability.md)
+ [`NXDOMAIN`공격으로부터 비용을 보호할 수 있도록 Route 53 구성](configuring-route53-for-cost-protection-from-nxdomain-attacks.md)
# DNS가용성을 위해 Route 53 사용하기
Amazon Route 53는 가용성과 확장성이 뛰어난 도메인 이름 시스템 (DNS) 서비스로서 트래픽을 웹 애플리케이션으로 전달하는 데 사용할 수 있습니다. 여기에는 트래픽 흐름, 건강 검사 및 모니터링, 지연 시간 기반 라우팅, 지역과 같은 고급 기능이 포함됩니다. DNS 이러한 고급 기능을 사용하면 서비스가 DNS 요청에 응답하는 방식을 제어하여 웹 애플리케이션의 성능을 개선하고 사이트 중단을 방지할 수 있습니다. 데이터 플레인 가용성이 100% 인 유일한 AWS 서비스입니다. SLA
Amazon Route 53은 [셔플 샤딩](https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/) 및 [애니캐스트 스트라이핑과](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/) 같은 기술을 사용하므로 DNS 서비스가 공격의 대상이 되더라도 사용자가 애플리케이션에 액세스할 수 있습니다. DDoS
셔플 샤딩을 사용하면 위임 세트의 각 네임 서버가 고유한 엣지 로케이션 및 인터넷 경로 세트에 해당합니다. 따라서 내결함성이 향상되고 고객 간 중복이 최소화됩니다. 위임 세트의 한 이름 서버를 사용할 수 없는 경우 사용자는 다시 시도하여 다른 엣지에 있는 다른 이름 서버로부터 응답을 받을 수 있습니다.
애니캐스트 스트라이핑을 사용하면 최적의 위치에서 각 DNS 요청을 처리하여 네트워크 부하를 분산시키고 대기 시간을 줄일 수 있습니다. DNS 이를 통해 사용자는 더 빠르게 응답할 수 있습니다. 또한 Amazon Route 53는 DNS 쿼리 소스 및 볼륨에서 이상을 감지하고 신뢰할 수 있는 것으로 알려진 사용자의 요청에 우선 순위를 지정할 수 있습니다.
Amazon Route 53을 사용하여 사용자를 애플리케이션으로 라우팅하는 방법에 대한 자세한 내용은 [Amazon Route 53 시작하기를](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/getting-started.html) 참조하십시오.
# `NXDOMAIN`공격으로부터 비용을 보호할 수 있도록 Route 53 구성
`NXDOMAIN`공격자가 흔히 알려진 “정상” 확인자를 통해 존재하지 않는 하위 도메인에 대한 요청을 호스팅 영역에 대량으로 전송할 때 공격이 발생합니다. 이러한 공격의 목적은 재귀 확인자의 캐시 및/또는 신뢰할 수 있는 확인자의 가용성에 영향을 미치거나 호스팅 영역 레코드를 검색하기 위한 정찰의 한 형태일 수 있습니다. DNS Route 53을 신뢰할 수 있는 리졸버로 사용하면 가용성/성능에 미치는 영향을 줄일 수 있지만, 그 결과 월별 Route 53 비용이 크게 증가할 수 있습니다. 비용 증가를 방지하려면 다음 두 가지 조건에 모두 해당하는 경우 DNS 쿼리가 무료로 [제공되는 Route 53 요금을](https://aws.amazon.com/route53/pricing/) 활용하십시오.
+ 쿼리의 도메인 또는 하위 도메인 이름 (`example.com`또는`store.example.com`) 과 레코드 유형 (`A`) 은 별칭 레코드와 일치합니다.
+ 별칭 대상은 다른 AWS Route 53 레코드가 아닌 리소스입니다.
예를 들어 EC2 인스턴스, Elastic Load Balancer CloudFront 또는 `*.example.com` 배포와 같은 AWS 리소스를 가리키는 유형 `A` (Alias) 을 사용하여 와일드카드 레코드를 생성하면 쿼리가 수행될 때 리소스의 IP가 반환되고 쿼리 `qwerty12345.example.com` 요금이 청구되지 않습니다.
# 애플리케이션 계층 방어 (,) BP1 BP2
지금까지 이 백서에서 설명한 많은 기술은 인프라 계층 DDoS 공격이 애플리케이션 가용성에 미치는 영향을 완화하는 데 효과적입니다. 또한 애플리케이션 계층 공격을 방어하려면 악의적인 요청을 구체적으로 탐지하고 이를 흡수할 수 있도록 확장하고 차단할 수 있는 아키텍처를 구현해야 합니다. 네트워크 기반 DDoS 완화 시스템은 일반적으로 복잡한 애플리케이션 계층 공격을 방어하는 데 효과가 없기 때문에 이는 중요한 고려 사항입니다.
# 악성 웹 요청 탐지 및 필터링 (,) BP1 BP2
애플리케이션이 실행되면 Amazon CloudFront (및 해당 HTTP 캐싱 기능) AWS AWS WAF, Shield Advanced Automatic Application 계층 보호를 활용하여 애플리케이션 계층 DDoS 공격 중에 불필요한 요청이 오리진에 도달하는 것을 방지할 수 있습니다.
# 아마존 CloudFront
Amazon은 CloudFront 웹 이외의 트래픽이 오리진에 도달하는 것을 방지하여 서버 부하를 줄이는 데 도움을 줄 수 있습니다. CloudFront 애플리케이션에 요청을 보내려면 완료한 핸드셰이크를 통해 유효한 IP 주소로 연결을 설정해야 합니다. TCP 핸드셰이크는 위조할 수 없습니다. [또한 읽기 속도가 느리거나 쓰기 속도가 느린 공격자 (예: Slowloris) 의 연결을 자동으로 닫을 CloudFront 수 있습니다.](https://en.wikipedia.org/wiki/Slowloris_(computer_security))
## CDN캐싱
CloudFront AWS 엣지 로케이션에서 동적 콘텐츠와 정적 콘텐츠를 모두 제공할 수 있습니다. 캐시 가능한 프록시 콘텐츠를 캐시에서 제공하면 CDN 캐싱 기간 동안 해당 엣지 캐시 노드에서 요청이 오리진에 도달하지 못하게 할 수 있습니다. TTL 만료되었지만 캐시 가능한 콘텐츠의 [요청 축소와 함께 아주 TTL 짧더라도 해당 콘텐츠에 대한 요청이 폭주하는](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/RequestAndResponseBehaviorCustomOrigin.html#request-custom-traffic-spikes) 동안 오리진에 도달하는 요청 수는 무시할 수 없을 정도입니다. 또한 [CloudFront Origin Shield와](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/origin-shield.html) 같은 기능을 활성화하면 오리진의 부하를 줄일 수 있습니다. [캐시 적중률을 개선하기 위해 할 수 있는 모든 조치가 강력한 요청 플러드 공격과](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cache-hit-ratio.html) 영향을 미치지 않는 요청 플러드 공격의 차이를 의미할 수 있습니다.
# AWS WAF
를 사용하면 AWS WAF전 세계 CloudFront 배포판 또는 지역 리소스에 웹 액세스 제어 목록 (웹ACLs) 을 구성하여 요청 서명을 기반으로 요청을 필터링, 모니터링 및 차단할 수 있습니다. 요청을 허용할지 차단할지를 결정하려면 IP 주소 또는 출처 국가, 요청의 특정 문자열이나 패턴, 요청의 특정 부분의 크기, 악성 SQL 코드나 스크립팅의 존재 여부 등의 요인을 고려할 수 있습니다. 요청에 대해 CAPTCHA 퍼즐을 실행하고 클라이언트 세션 챌린지를 무음으로 설정할 수도 있습니다.
CloudFront 또한 지역 제한을 설정하여 특정 국가의 요청을 차단하거나 허용할 수도 있습니다. AWS WAF 이렇게 하면 사용자에게 서비스를 제공할 것으로 예상되지 않는 지리적 위치에서의 공격을 차단하거나 공격률을 제한하는 데 도움이 될 수 있습니다. 세분화된 지리적 일치 규칙 명령문을 사용하면 지역 수준까지 액세스를 AWS WAF제어할 수 있습니다.
[Scope-Down 문을](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-scope-down-statements.html) 사용하여 비용 절감을 위해 규칙이 평가하는 요청의 범위를 좁히고, 웹 요청의 [“레이블”을 지정하여 요청과 일치하는 규칙이 일치 결과를 동일한 웹에서](https://docs.aws.amazon.com/waf/latest/developerguide/waf-labels.html) 나중에 평가되는 규칙으로 전달하도록 허용할 수 있습니다. ACL 여러 규칙에서 동일한 로직을 재사용하려면 이 옵션을 선택하십시오.
응답 코드, 헤더, 본문이 포함된 완전한 사용자 지정 응답을 정의할 수도 있습니다.
악의적인 요청을 식별하는 데 도움이 되도록 웹 서버 로그를 검토하거나 AWS WAF사용자의 로깅 및 요청 샘플링을 검토하십시오. AWS WAF 로깅을 활성화하면 웹에서 분석한 트래픽에 대한 자세한 정보를 얻을 수 있습니다. ACL AWS WAF 로그 필터링을 지원하여 검사 후 로그할 웹 요청과 로그에서 삭제되는 요청을 지정할 수 있습니다.
로그에 기록되는 정보에는 AWS 리소스로부터 요청을 AWS WAF 받은 시간, 요청에 대한 세부 정보, 요청된 각 규칙에 대한 매칭 작업 등이 포함됩니다.
샘플링된 요청은 지난 3시간 이내에 규칙 중 하나와 일치하는 요청에 대한 세부 정보를 제공합니다. AWS WAF 이 정보를 사용하여 악의적일 수 있는 트래픽 시그니처를 식별하고 이러한 요청을 거부하는 새 규칙을 만들 수 있습니다. 무작위 쿼리 문자열이 포함된 요청이 여러 개 있는 경우 애플리케이션의 캐시와 관련된 쿼리 문자열 매개변수만 허용해야 합니다. 이 기법은 오리진에 대한 캐시 무효화 공격을 완화하는 데 유용합니다.
# AWS WAF — 속도 기반 규칙
AWS 5분 슬라이딩 윈도우 내에 수신된 HTTP 요청 수가 사용자가 정의한 임계값을 AWS WAF 초과할 경우 속도 기반 규칙을 사용하여 악의적인 행위자의 IP 주소를 자동으로 차단하여 요청 폭주를 방지할 것을 강력히 권장합니다. 문제가 되는 클라이언트 IP 주소는 403 금지된 응답 (또는 구성된 블록 오류 응답) 을 받게 되며 요청 비율이 임계값 아래로 떨어질 때까지 차단된 상태를 유지합니다.
속도 기반 규칙을 계층화하여 향상된 보호 기능을 제공하여 다음과 같은 효과를 얻을 수 있도록 하는 것이 좋습니다.
+ 대규모 홍수로부터 애플리케이션을 보호하기 위한 포괄적인 요금 기반 규칙. HTTP
+ 총괄 요율 기반 규칙보다 더 제한적인 요율로 특정 항목을 보호하는 URIs 하나 이상의 요금 기반 규칙.
예를 들어 5분 내에 요청 500개로 제한하는 총괄 요금 기반 규칙 (범위 축소 설명 없음) 을 선택한 다음 범위 축소 명령문을 사용하여 500개 (5분 동안 최소 100개 요청) 보다 낮은 다음 속도 기반 규칙 중 하나 이상을 생성할 수 있습니다.
+ 파일 확장자가 없는 리소스에 대한 요청도 추가로 보호되도록 `if NOT uri_path contains '.'` "“와 같은 범위 축소 명령문을 사용하여 **웹 페이지를** 보호하십시오. 이렇게 하면 자주 타겟팅되는 경로인 홈페이지 (`/`) 도 보호됩니다. URI
+ “" 와 같은 범위 축소 명령문을 사용하여 **동적 엔드포인트를** 보호하십시오. `if method exactly matches 'post' (convert lowercase)`
+ 데이터베이스에 도달하거나 "“와 같이 범위가 축소된 일회용 암호 (OTP) 를 호출하는 **과도한 요청을** 보호합니다. `if uri_path starts_with '/login' OR uri_path starts_with '/signup' OR uri_path starts_with '/forgotpassword'`
“차단” 모드의 속도 기반 모드는 요청 폭주로부터 보호하기 위한 defense-in-depth WAF 구성의 초석이며 비용 보호 요청을 승인하기 위한 요구 사항입니다. AWS Shield Advanced 다음 섹션에서 추가 defense-in-depth WAF 구성을 살펴보겠습니다.
# AWS WAF — IP 평판
IP 주소 평판에 기반한 공격을 방지하려면 IP 매칭을 사용하여 규칙을 만들거나 [관리형 규칙을](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-list.html) 사용할 수 AWS WAF있습니다.
[Amazon의 IP 평판 목록 규칙 그룹에는](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-amazon) Amazon의 내부 위협 인텔리전스에 기반한 규칙이 포함됩니다. 이 규칙은 AWS 리소스를 정찰하거나 활동에 적극적으로 참여하는 봇인 IP 주소를 찾습니다. DDoS 이 `AWSManagedIPDDoSList` 규칙은 악성 요청 플러드의 90% 이상을 차단하는 것으로 확인되었습니다.
[익명 IP 목록 규칙 그룹에는 시청자](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-ip-rep.html#aws-managed-rule-groups-ip-rep-anonymous) 신원을 모호하게 만들 수 있는 서비스의 요청을 차단하는 규칙이 포함되어 있습니다. 여기에는VPNs, 프록시, Tor 노드 및 클라우드 플랫폼 (제외) 으로부터의 요청이 포함됩니다. AWS
또한 [솔루션용 보안 자동화의](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html) IP 목록 [파서 구성 요소를 사용하여 타사 IP 평판 목록을](https://docs.aws.amazon.com/solutions/latest/security-automations-for-aws-waf/component-details.html#ip-lists-parser) 활용할 수 있습니다. AWS WAF
# AWS WAF - 지능형 위협 완화
봇넷은 심각한 보안 위협이며 일반적으로 스팸 전송, 민감한 데이터 도용, 랜섬웨어 공격 시작, 부정 클릭을 통한 광고 사기 또는 분산 () 공격과 같은 불법적이거나 유해한 활동을 수행하는 데 사용됩니다. denial-of-service DDoS [봇 공격을 방지하려면 Bot Control 관리 규칙 그룹을 사용하십시오.AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) 이 규칙 그룹은 자체 식별 봇에 레이블을 추가하고, 일반적으로 바람직한 봇을 확인하고, 신뢰도가 높은 봇 서명을 탐지하는 기본적인 “공통” 보호 수준과 자체 식별이 불가능한 고급 봇에 대한 탐지를 추가하는 “표적” 보호 수준을 제공합니다.
표적 보호는 브라우저 조사, 핑거프린팅, 행동 휴리스틱과 같은 고급 탐지 기술을 사용하여 잘못된 봇 트래픽을 식별한 다음 속도 제한 CAPTCHA 및 챌린지 규칙 조치와 같은 완화 제어를 적용합니다. 또한 Targeted는 사람과 유사한 액세스 패턴을 적용하고 요청 토큰을 사용하여 동적 속도 제한을 적용하는 속도 제한 옵션을 제공합니다. 자세한 내용은 [AWS WAF 봇](https://docs.aws.amazon.com/waf/latest/developerguide/waf-bot-control.html) 제어 규칙 그룹을 참조하십시오. 애플리케이션의 로그인 페이지에서 악의적인 도용 시도를 탐지하고 관리하려면 AWS WAF Fraud Control 계정 도용 방지 (ATP) 규칙 그룹을 사용할 수 있습니다. 규칙 그룹은 클라이언트가 애플리케이션의 로그인 엔드포인트로 보내는 로그인 시도를 검사하고 로그인 시도에 대한 애플리케이션의 응답을 검사하여 성공률과 실패율을 추적함으로써 이를 수행합니다.
계정 생성 사기는 공격자가 하나 이상의 허위 계정을 만들려고 하는 온라인 불법 활동입니다. 공격자는 허위 계정을 사용하여 프로모션 및 가입 보너스를 남용하거나 누군가를 사칭하는 사기 활동과 피싱 등의 사이버 공격을 수행합니다. 허위 계정이 존재하면 고객에 대해 평판이 손상되고 금융 사기에 노출되어 비즈니스에 부정적인 영향이 미칠 수 있습니다.
Fraud Control 계정 생성 사기 방지 (ACFP) 기능을 구현하여 계정 생성 AWS WAF 사기 시도를 모니터링하고 제어할 수 있습니다. AWS WAF 이 기능을 컴패니언 애플리케이션 `AWS ManagedRulesACFPRuleSet` 통합과 함께 AWS Managed Rules 규칙 그룹에서 제공합니다SDKs.
[https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html](https://docs.aws.amazon.com/waf/latest/developerguide/waf-managed-protections.html) 이러한 보호 기능에 대해 자세히 알아보십시오.
# 애플리케이션 계층 DDoS 이벤트를 자동으로 완화 (,,) BP1 BP2 BP6
에 AWS Shield Advanced가입한 경우 [Shield Advanced 자동 애플리케이션](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) [계층 DDoS 완화를](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-automatic-app-layer-response.html) 활성화할 수 있습니다. 이 기능은 사용자를 대신하여 계층 7 DDoS 이벤트를 완화하기 위한 AWS WAF 규칙을 자동으로 생성, 평가 및 배포합니다.
AWS Shield Advanced 웹과 관련된 각 보호 리소스에 대한 트래픽 기준을 설정합니다. WAF ACL 설정된 기준선을 크게 벗어나는 트래픽은 잠재적 이벤트로 플래그가 지정됩니다. DDoS 이벤트가 감지되면 이벤트를 구성하는 웹 요청의 시그니처를 AWS Shield Advanced 식별하려고 시도하고, 시그니처가 식별되면 해당 시그니처로 트래픽을 완화하기 위한 AWS WAF 규칙이 생성됩니다.
규칙이 이전 기준과 비교하여 평가되고 안전하다고 판단되면 해당 규칙은 Shield 관리 규칙 그룹에 추가되며 규칙을 카운트 모드로 배포할지 블록 모드로 배포할지 선택할 수 있습니다. Shield Advanced는 이벤트가 완전히 진정된 것으로 확인되면 AWS WAF 규칙을 자동으로 제거합니다.
# 참여 SRT (Shield 어드밴스드 구독자만 해당)
또한 Shield Advanced에 가입하면 애플리케이션 가용성을 저해하는 공격을 완화하는 규칙을 만드는 데 도움을 받을 수 있습니다. AWS SRT 계정 및 계정에 AWS SRT 제한된 액세스 권한을 부여할 수 있습니다. AWS Shield Advanced AWS WAF APIs AWS SRT사용자가 명시적으로 승인한 경우에만 이러한 APIs 기능에 액세스하여 사용자 계정에 완화 조치를 적용합니다. 자세한 내용은 이 문서의 [지원](support.md) 섹션을 참조하십시오.
를 AWS Firewall Manager 사용하여 조직 전체에서 AWS Shield Advanced 보호 및 규칙과 같은 보안 규칙을 중앙에서 구성하고 관리할 수 있습니다. AWS WAF AWS Organizations 관리 계정은 Firewall Manager 정책을 생성할 권한이 있는 관리자 계정을 지정할 수 있습니다. 이러한 정책을 통해 규칙 적용 위치를 결정하는 리소스 유형 및 태그와 같은 기준을 정의할 수 있습니다. 이는 계정이 여러 개이고 보호를 표준화하려는 경우에 유용합니다.
해당 내용은 다음을 참조하세요.
+ AWS Managed Rules [에 대해서는 AWS WAF for를 참조하십시오.AWS Managed RulesAWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups.html)
+ 지리적 제한을 사용하여 CloudFront 배포에 대한 액세스를 [제한하려면 콘텐츠의 지리적 배포](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/georestrictions.html) 제한을 참조하십시오.
+ 사용 시 AWS WAF다음을 참조하십시오.
+ [시작하기 AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html)
+ [웹 ACL 트래픽 정보 로깅](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)
+ [웹 요청 샘플 보기](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html#web-acl-testing-view-sample)
+ 속도 기반 규칙 구성은 [속도 기반 규칙을 사용하여 웹 사이트 및 서비스 보호를](https://aws.amazon.com/blogs/aws/protect-web-sites-services-using-rate-based-rules-for-aws-waf/) 참조하십시오. AWS WAF
+ Firewall Manager를 사용하여 AWS 리소스 전반의 규칙 배포를 관리하는 방법은 다음을 참조하십시오.
+ [방화벽 관리자 AWS WAF 정책 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms.html)
+ [방화벽 관리자 쉴드 고급 정책 시작하기](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-shield.html)