Application Load Balancer를 위한 통합 - Elastic Load Balancing
Amazon Application Recovery Controller(ARC)Amazon CloudFront + AWS WAFAWS Global AcceleratorAWS ConfigAWS WAF

Application Load Balancer를 위한 통합

다른 여러 AWS 서비스와 통합하여 Application Load Balancer 아키텍처를 최적화하면 애플리케이션의 성능, 보안, 가용성을 향상할 수 있습니다.

Amazon Application Recovery Controller(ARC)

Amazon Application Recovery Controller(ARC)를 사용하면 로드 밸런서의 트래픽을 손상된 가용 영역에서 동일한 리전의 정상 가용 영역으로 이동할 수 있습니다. 영역 전환을 사용하면 가용 영역의 정전, 하드웨어 문제 또는 소프트웨어 문제로 인해 애플리케이션이 받는 영향의 시간과 심각도를 줄일 수 있습니다.

자세한 내용은 Application Load Balancer에 대한 영역 전환 섹션을 참조하세요.

Amazon CloudFront + AWS WAF

Amazon CloudFront는 AWS를 사용하는 애플리케이션의 성능, 가용성, 보안을 개선하는 데 도움이 되는 웹 서비스입니다. CloudFront는 Application Load Balancer를 사용하는 웹 애플리케이션의 분산된 단일 진입점 역할을 합니다. 이는 Application Load Balancer의 글로벌 도달 범위를 확장하여 가까운 엣지 로케이션에서 사용자에게 효율적으로 서비스하고 콘텐츠 전송을 최적화하며 전 세계 사용자의 지연 시간을 줄입니다. 이러한 엣지 로케이션의 자동 콘텐츠 캐싱은 Application Load Balancer의 부하를 크게 줄여 성능과 확장성을 개선합니다.

Elastic Load Balancing 콘솔에서 사용할 수 있는 원클릭 통합 기능은 권장 AWS WAF 보안 보호 기능을 갖춘 CloudFront 배포를 생성하고 이를 Application Load Balancer에 연결합니다. 이 AWS WAF 보호 기능은 일반적인 웹 공격이 로드 밸런서에 도달하기 전에 차단합니다. 콘솔의 로드 밸런서 통합 탭에서 CloudFront 배포 및 해당 보안 대시보드를 확인할 수 있습니다. 자세한 내용은 Amazon CloudFront 개발자 안내서CloudFront 보안 대시보드에서 AWS WAF 보안 보호 관리aws.amazon.com/blogsIntroducing CloudFront Security Dashboard, a Unified CDN and Security Experience를 참조하세요.

보안 모범 사례로 CloudFront의 AWS 관리형 접두사 목록에서만 인바운드 트래픽을 허용하도록 인터넷 경계 Application Load Balancer의 보안 그룹을 구성하고 다른 인바운드 규칙은 제거합니다. 자세한 내용은 Amazon CloudFront 개발자 안내서CloudFront 관리형 접두사 목록 사용, 요청에 사용자 지정 HTTP 헤더를 추가하도록 CloudFront 구성, 특정 헤더가 포함된 요청만 전달하도록 Application Load Balancer 구성을 참조하세요.

참고

CloudFront는 미국 동부(버지니아 북부) us-east-1 리전의 ACM 인증서만 지원합니다. Application Load Balancer가 us-east-1이 아닌 다른 리전에 ACM 인증서로 구성된 HTTPS 리스너를 사용하는 경우 CloudFront 오리진 연결을 HTTPS에서 HTTP로 변경하거나 미국 동부(버지니아 북부) 리전에 ACM 인증서를 프로비저닝하여 CloudFront 배포에 연결해야 합니다.

AWS Global Accelerator

애플리케이션 가용성, 성능, 보안을 최적화하려면 로드 밸런서를 위한 액셀러레이터를 생성합니다. 액셀러레이터는 트래픽을 AWS 글로벌 네트워크를 통해 클라이언트와 가장 가까운 리전의 고정 엔드포인트 역할을 하는 고정 IP 주소로 보냅니다. AWS Global Accelerator는 Shield Standard로 보호되며 DDoS 공격으로 인한 애플리케이션 가동 중지 시간과 지연 시간을 최소화합니다.

자세한 내용은 AWS Global Accelerator 개발자 안내서로드 밸런서를 생성할 때 액셀러레이터 추가를 참조하세요.

AWS Config

로드 밸런서의 모니터링 및 규정 준수를 최적화하려면 AWS Config를 설정합니다. AWS Config는 AWS 계정의 AWS 리소스 구성에 대한 자세한 보기를 제공합니다. 이러한 보기에는 리소스 간에 어떤 관계가 있는지와 리소스가 과거에 어떻게 구성되었는지도 포함되므로, 시간이 지나면서 구성과 관계가 어떻게 변하는지 확인할 수 있습니다. AWS Config는 감사, 규정 준수, 문제 해결 작업을 간소화합니다.

자세한 내용은 AWS Config 개발자 안내서를 참조하세요.

AWS WAF

Application Load Balancer와 함께 AWS WAF를 사용하여 웹 액세스 제어 목록(ACL)의 규칙에 따라 요청을 허용하거나 차단할 수 있습니다.

로드 밸런서가 AWS WAF의 응답을 가져올 수 없는 경우, 기본적으로 HTTP 500 오류를 반환하고 요청을 전달하지 않습니다. AWS WAF에 연결할 수 없더라도 대상에 요청을 전달하기 위해 로드 밸런서가 필요한 경우, AWS WAF 페일 오픈을 활성화할 수 있습니다.

사전 정의된 웹 ACL

AWS WAF 통합을 활성화할 때 사전 정의된 규칙을 사용하여 자동으로 새 웹 ACL을 생성하도록 선택할 수 있습니다. 사전 정의된 웹 ACL에는 가장 일반적인 보안 위협에 대한 보호를 제공하는 세 가지 AWS 관리형 규칙이 포함되어 있습니다.

  • AWSManagedRulesAmazonIpReputationList ‐ Amazon IP 평판 목록 규칙 그룹은 일반적으로 봇 또는 기타 위협과 관련된 IP 주소를 차단합니다. 자세한 내용은 AWS WAF 개발자 안내서Amazon IP 평판 목록 관리형 규칙 그룹을 참조하세요.

  • AWSManagedRulesCommonRuleSet - 핵심 규칙 집합(CRS) 규칙 그룹은 OWASP Top 10과 같은 OWASP 게시물에 설명된 자주 발생하고 위험성 높은 일부 취약성을 비롯한 광범위한 취약성 악용에 대한 보호를 제공합니다. 자세한 내용은 AWS WAF 개발자 안내서핵심 규칙 집합(CRS) 관리형 규칙 그룹을 참조하세요.

  • AWSManagedRulesKnownBadInputsRuleSet - 알려진 잘못된 입력 규칙 그룹은 유효하지 않은 것으로 알려져 있으며 취약성의 악용 또는 검색과 관련된 요청 패턴을 차단합니다. 자세한 내용은 AWS WAF 개발자 안내서알려진 잘못된 입력 관리형 규칙 그룹을 참조하세요.

자세한 내용은 AWS WAF 개발자 안내서AWS WAF에서 웹 ACL 사용을 참조하세요.