Shield Standard로 DDoS 공격을 방어하려면 어떻게 해야 하나요?

4분 분량

AWS Shield Standard를 사용하여 분산 서비스 거부(DDoS) 공격으로부터 애플리케이션을 보호하고 싶습니다.

간략한 설명

AWS Shield Standard는 애플리케이션 경계를 보호하는 관리형 위협 방지 서비스입니다. Shield Standard는 추가 비용 없이 자동 위협 방지 기능을 제공합니다. Shield Standard를 사용하면 Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53을 사용하여 AWS 네트워크 엣지에서 애플리케이션을 보호할 수 있습니다. 이러한 AWS 서비스는 알려진 모든 네트워크 및 전송 계층 공격으로부터 보호됩니다. 계층 7 DDoS 공격을 방어하기 위해서는 AWS WAF를 사용할 수 있습니다.

Shield Standard를 사용하여 DDoS 공격으로부터 애플리케이션을 보호하려면 애플리케이션 아키텍처에 대한 다음 지침을 따르는 것이 가장 좋습니다.

공격 영역 표면 줄이기
규모를 조정하고 공격을 흡수할 준비 갖추기
노출된 리소스 보호
애플리케이션 동작 모니터링
공격 계획 수립

해결 방법

공격 영역 표면 줄이기

예상 트래픽만 애플리케이션에 도달하도록 하려면 네트워크 액세스 제어 목록(네트워크 ACL) 및 보안 그룹을 사용하세요.
CloudFront용 AWS 관리형 접두사 목록을 사용하세요. CloudFront origin-facing 서버에 속한 IP 주소에서만 오리진에 대한 인바운드 HTTP 또는 HTTPS 트래픽을 제한할 수 있습니다.
애플리케이션을 호스팅하는 백엔드 리소스를 프라이빗 서브넷 내에 배포합니다.
악성 트래픽이 애플리케이션에 직접 도달할 가능성을 줄이려면 탄력적 IP 주소를 백엔드 리소스에 할당하지 마세요.

자세한 내용은 공격 표면 감소를 참조하세요.

규모를 조정하고 DDoS 공격을 흡수할 준비 갖추기

CloudFront, Global Accelerator 및 Route 53을 사용하여 AWS 네트워크의 엣지에서 애플리케이션을 보호하세요.
Elastic Load Balancing으로 초과 트래픽을 흡수하고 분산하세요.
AWS Auto Scaling을 사용하여 온디맨드로 수평적으로 규모를 조정하세요.
애플리케이션에 최적의 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 유형을 사용하여 수직적으로 규모를 조정하세요.
Amazon EC2 인스턴스에서 향상된 네트워킹을 활성화하세요.
응답성 향상을 위한 API 캐싱을 활성화하세요.
CloudFront에 대한 캐싱을 최적화하세요.
CloudFront Origin Shield를 사용하면 오리진에 대한 콘텐츠 캐싱 요청을 더욱 줄일 수 있습니다.

자세한 내용은 완화 기술을 참조하세요.

노출된 리소스 보호

요청 플러드 공격을 방어하기 위해 블록 모드에서 속도 기반 규칙을 사용하여 AWS WAF를 구성하세요.
참고: CloudFront, Amazon API Gateway, Application Load Balancer 또는 AWS AppSync가 AWS WAF를 사용하도록 구성되어 있어야 합니다.
CloudFront 지리적 제한을 사용하면, 귀하의 콘텐츠에 액세스하지 않았으면 하는 국가에서 온 사용자를 차단할 수 있습니다.
Amazon API Gateway REST API와 함께 각 메서드에 버스트 제한을 사용하여 API 엔드포인트가 요청에 요청으로 인한 과부하가 걸리지 않도록 보호하세요.
Amazon Simple Storage Service(S3) 버킷과 함께 오리진 액세스 ID(OAI)를 사용하세요.
API 키를 각 수신 요청의 X-API-Key 헤더로 설정하여 Amazon API Gateway를 직접 액세스로부터 보호하세요.

애플리케이션 동작 모니터링

Amazon CloudWatch 대시보드를 생성하여 트래픽 패턴 및 리소스 사용과 같은 애플리케이션의 주요 지표의 기준을 설정하세요.
중앙 집중식 로깅 솔루션을 사용하여 CloudWatch logs의 가시성을 향상시키세요.
CloudWatch 경보 를 구성하여 DDoS 공격에 대응하여 애플리케이션의 규모를 자동으로 조정하도록 하세요.
Route 53 상태 확인을 생성하여 DDoS 공격에 대응해 애플리케이션 상태를 모니터링하고 애플리케이션의 트래픽 장애 조치를 관리합니다.

자세한 내용은 AWS 애플리케이션 Auto Scaling 모니터링을 참조하세요.

DDoS 공격에 대한 계획 수립

DDoS 공격에 효율적이고 시기적절하게 대응할 수 있도록 미리 런북을 개발하세요. 런북 생성에 대한 지침은 AWS 보안 사고 대응 가이드를 참조하세요. 또한 이 예제 런북을 검토할 수도 있습니다.
aws-lambda-shield-engagement 스크립트를 사용하여 DDoS 공격이 이루어지는 동안 AWS Support에 티켓을 신속하게 로그합니다.
Shield Standard는 OSI 모델의 계층 3과 4에서 발생하는 인프라 기반 DDoS 공격으로부터의 보호를 제공합니다. 계층 7 DDoS 공격을 방어하기 위해서는 AWS WAF를 사용할 수 있습니다.

DDoS 공격으로부터 애플리케이션을 보호하는 방법에 대한 자세한 내용은 DDoS 복원력에 대한 AWS 모범 사례를 참조하세요.