Amazon Shield

이 모듈에서는 AWS Shield 및 유용한 보호 옵션에 대해 알아보겠습니다. AWS Shield는 AWS에서 실행되는 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스입니다. 이 서비스는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 완화를 제공하기 때문에 DDoS 방어를 위해 AWS Support를 이용할 필요가 없습니다. 더 자세히 살펴보기 전에 DDoS 공격과 서비스 거부(DoS) 공격의 차이를 살펴보겠습니다. DoS 공격은 네트워크 트래픽 범람처럼 사용자가 웹사이트나 애플리케이션을 사용할 수 없도록 하려는 의도적인 시도입니다. 공격자는 방대한 네트워크 대역폭을 소비하거나 다른 시스템 리소스를 결합하는 다양한 기법을 사용하여 합법적인 사용자의 액세스를 방해합니다. 가장 단순한 형태는 단일 공격자가 단일 소스를 사용하여 대상에 대한 DoS 공격을 실행하는 경우입니다. DDoS 공격에서 공격자는 여러 소스를 사용하여 대상에 대한 공격을 조정합니다. 소스에는 멀웨어 감염 컴퓨터, 라우터, IoT 디바이스, 기타 엔드포인트의 분산된 그룹이 포함될 수 있습니다. DDoS 공격은 일반적으로 훼손된 컴퓨터 또는 인터넷 장치의 봇넷에서 시작됩니다. 목표는 일정 기간 동안 대상 웹사이트 또는 애플리케이션을 오프라인 상태로 두어 합법적인 사용자의 가용성을 저하시키는 것입니다. 때로는 공격자가 사이트가 다른 사이트와 통신하는 방식으로 웹사이트를 다운시키려고 합니다. 이것을 애플리케이션 계층이라고 합니다. 애플리케이션 계층에는 일반적으로 방대한 트래픽은 없습니다. 따라서 고도로 표적화된 애플리케이션 계층 공격은 초당 100개 미만의 요청으로 웹페이지를 공략할 수 있습니다. 고객은 웹 애플리케이션 방화벽(WAF)을 사용하여 이러한 요청이 웹 서버 인프라에 도달하기 전에 차단합니다. DDoS 공격 완화는 쉽지 않습니다. 예를 들어, 보호 설정이 복잡하며, 애플리케이션을 다시 설계해야 하는 경우가 많습니다. 온프레미스 데이터 센터에서 완화 조치를 수행하는 경우 확장성 문제로 인해 대역폭 제한이 발생할 수 있습니다. 운영자가 공격 완화를 시작하려면 수동 개입하고 완화 업체와 조직이 원거리의 스크럴빙 위치를 사용해 트래픽을 다시 라우팅해야 하는 경우도 있습니다. 그러면, 해결을 지연시키고 네트워크 대기 시간을 늘립니다. 규모, 기간 및 완화 시스템의 복잡한 특성으로 인해 비용이 많이 들 수 있습니다. AWS Shield는 이러한 문제를 해결하는 데 유용할 수 있습니다. 이 서비스는 AWS Shield Standard와 AWS Shield Advanced, 두 가지 보호 옵션을 제공합니다. Standard 버전은 추가 비용 없이 모든 AWS 고객을 자동으로 보호합니다. Advanced 버전은 DDoS 대응 팀에 24/7 액세스할 수 있으며 대규모 공격으로부터 보호할 수 있는 추가 용량을 제공합니다. 각 서비스 계층을 자세히 살펴보겠습니다. AWS Shield Standard의 기능은 다음과 같습니다. 이 옵션은 AWS 리전의 모든 AWS 리소스를 가장 일반적인 공격으로부터 자동으로 보호합니다. AWS로 들어오는 트래픽을 검사하는 상시 네트워크 흐름 모니터링을 제공하여 DDoS 공격을 신속하게 탐지할 수 있습니다. 악성 트래픽을 실시간으로 탐지하기 위해 트래픽 서명, 이상 알고리즘 및 기타 분석 기법의 조합이 적용됩니다. 이 서비스에는 자동화된 완화 기법이 내장되어 있습니다. 애플리케이션에 인라인 방식으로 적용되므로 대기 시간에 영향을 미치지 않습니다. 결정론적 패킷 필터링, 우선 순위 기반 트래픽 형성과 같은 여러 기법이 애플리케이션에 대한 영향 없이 자동으로 공격을 완화하는 데 사용됩니다. AWS WAF를 사용하여 규칙을 작성함으로써 애플리케이션 계층 공격을 완화하고 사용한만큼만 지불할 수 있습니다. Standard 계층은 애플리케이션 다운타임을 최소화하기 위한 편리한 셀프 서비스 옵션을 제공합니다. DDoS 공격으로부터 보호 받기 위해 AWS Support에 관여할 필요가 없습니다. AWS Shield Advanced를 사용하면 공격 이전, 도중 및 이후에 이용할 수 있는 DDoS Response Team(DRT)에 24/7 액세스할 수 있습니다. DRT는 사고를 분류하고 근본 원인을 식별하며 사용자를 대신하여 완화 기법을 적용합니다. 또한 사후 공격 분석도 지원합니다. 고급 라우팅 기법을 사용하는 이 서비스 계층은 대규모 DDoS 공격으로부터 보호할 수 있는 추가 용량을 제공합니다. 애플리케이션 계층 공격의 경우 AWS WAF를 사용하면 비용 부담 없이 Rate-Based Blacklisting과 같은 사전 대응 규칙을 설정하여 악성 트래픽을 자동으로 중지하거나 즉시 대응할 수 있습니다. Amazon CloudWatch를 통한 거의 실시간 알림, 관리 콘솔에서의 자세한 진단을 통해 DDoS 공격을 완벽하게 파악할 수 있습니다. Advanced 계층은 탄력적 IP 주소, ELB, Amazon CloudFront 또는 Amazon Route 53 리소스에 대한 애플리케이션 계층 트래픽을 모니터링합니다. 리소스에서 트래픽 베이스라인 대비 이상을 식별하여 HTTP 플러드 또는 DNS 쿼리 플러드와 같은 애플리케이션 계층 공격을 탐지합니다. DDoS 공격에 대한 대응으로 이러한 서비스가 확장될 경우 AWS가 사용량 급증으로 발생한 요금에 대해 서비스 크레딧을 제공합니다. 이제 이 기능을 이해하고 혜택을 요약해 보겠습니다. AWS Shield는 원활한 통합과 배포를 제공합니다. Standard 옵션의 경우,Standard 옵션의 경우, 가장 빈번히 발생하는 네트워크 및 전송 계층 DDoS 공격으로부터 AWS 리소스가 자동으로 보호됩니다. 편리한 관리 콘솔 또는 API를 통해 AWS Shield Advanced를 활성화하면 보다 높은 수준의 방어 효과를 얻을 수 있습니다. 사용자 지정 가능한 보호의 가치를 고려하십시오. AWS Shield Advanced를 사용하면 정교한 애플리케이션 계층 공격을 완화하기 위한 사용자 지정 규칙을 작성할 수 있는 유연성을 제공합니다. 그리고 이러한 규칙은 즉시 배포할 수 있기 때문에 공격을 빠르게 완화할 수 있습니다. 자동으로 불량 트래픽을 차단하거나 발생하는 사고에 대응하는 규칙을 미리 설정할 수 있습니다. 그리고 여러분을 대신하여 규칙을 작성하는 대응팀이 24/7 대기하고 있습니다. AWS Shield는 비용 효율적이며 AWS 고객에게는 추가 비용, 리소스 또는 시작 시간 없이 자동 네트워크 계층 보호가 제공됩니다. Advanced 옵션을 사용하면 DDoS 공격으로 인해 EC2, ELB, Amazon CloudFront 및 Amazon Route 53 사용량 급증으로 발생한 요금으로부터 보호해주는 기능인 AWS ‘DDoS 비용 보호’ 제공합니다. 이제 AWS Shield가 어떻게 리소스를 보호하는지 살펴보겠습니다. AWS Shield Standard는 Reflection 공격 또는 자주 DNS를 표적으로 삼는 SYN 플러드를 비롯한 인프라 계층 DDoS 공격으로부터 Amazon Route 53 Hosted Zone을 보호합니다. 헤더 확인 및 우선 순위 기반 트래픽 형성과 같은 다양한 기술이 이러한 공격을 자동으로 완화합니다. Advanced 계층은 Route 53의 공격에 대한 가시성과 보호 기능을 강화하고 극단적인 시나리오에 대한 대응팀의 지원을 제공합니다. Amazon CloudFront를 사용할 때 AWS Shield Standard는 SYN-ACK 공격, UDP 플러드 또는 그 외 리플렉션 공격과 같은 인프라 계층 공격에 대해 포괄적인 보호 기능을 제공합니다. 상시 감지 및 완화 시스템은 불량 트래픽을 자동으로 제거합니다. 이제 사용자 애플리케이션을 위해 레이어 3과 4가 보호됩니다. CloudFront에 대한 인프라 계층 공격의 경우 99%의 공격이 AWS Shield에서 탐지하고 1초 이내에 자동으로 완화됩니다. Advanced 구독을 이용하면 Amazon CloudFront에서 추가 보호를 받을 수 있습니다. 대응팀은 트래픽 엔지니어링을 사용하여 정교한 인프라 계층 3 또는 4 공격에 필요한 완화 조치를 적극 적용합니다. HTTP 플러드와 같은 애플리케이션 계층 공격도 보호됩니다. 상시 탐지 시스템은 고객의 정상 상태 애플리케이션 트래픽을 기준으로 비정상 상태를 모니터링합니다. AWS IAM을 사용하면 모든 애플리케이션 계층 완화를 사용자 지정할 수 있습니다. 가령 UDP와 SIP 등 TCP에 기반하지 않는 기타 사용자 지정 애플리케이션의 경우 Amazon CloudFront 또는 ELB 등의 서비스를 이용할 수 없습니다. 이 경우에는 인터넷이 연결된 Amazon EC2 인스턴스에서 직접 애플리케이션을 실행해야 합니다. Standard 옵션은 UDP 리플렉션 공격과 같은 일반적인 인프라 계층 3 및 4 공격으로부터 Amazon EC2 인스턴스를 보호합니다. 여기에는 DNS, NTP 및 SSDP 리플렉션 공격이 포함됩니다 정의가 명확한 DDoS 공격 서명이 탐지되면 우선 순위 기반 트래픽 형성과 같은 기술이 자동으로 시작됩니다. 탄력적 IP 주소에 AWS Shield Advanced를 활성화함으로써 정교한 대규모 DDoS 공격으로부터 이러한 애플리케이션을 좀 더 안전하게 보호할 수 있습니다. 향상된 탐지 기능은 AWS Resource의 유형과 EC2 인스턴스의 크기를 자동으로 인식하고 적절하게 사전 정의된 완화를 적용합니다. 사용자 지정 완화 프로필을 생성할 수 있고 공격 중에는 모든 Amazon VPC 네트워크 액세스 제어 목록(ACL)을 AWS 네트워크 경계에 자동으로 적용함으로써 추가 대역폭에 대한 액세스를 제공하고 용량을 스크럽하여 대규모 볼륨의 DDoS 공격을 완화할 수 있습니다. 또한 Advanced 계층은 UDP 플러드와 같은 SYN-ACK 공격과 기타 벡터로부터 사용자를 보호합니다. AWS Shield가 수행할 수 있는 모든 작업을 요약해봅시다. AWS에서는 여러 미션 크리티컬 웹 애플리케이션을 실행하고 있으며 더 크고 복잡한 공격에 대한 가시성과 보호를 원하든 AWS에서 단일 웹 애플리케이션을 실행하고 일반적인 DDoS 공격으로부터 보호하고자 하든 AWS Shield가 도움이 될 수 있습니다. AWS Shield는 DDoS 공격에 대한 내장된 상시 보호 기능과 도구, 서비스 및 전문 지식에 대한 액세스를 제공하여 AWS에서 사용자 애플리케이션을 보호할 수 있습니다. 자세히 알아보려면 aws.amazon.com/shield를 방문하십시오.