**에 대한 새로운 콘솔 환경 소개 AWS WAF**
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 의 리소스 보호 AWS Shield Advanced
리소스에 대한 AWS Shield Advanced 보호를 추가하고 구성할 수 있습니다. 단일 리소스에 대한 보호를 관리하고 더 나은 이벤트 관리가 가능하도록 보호된 리소스를 논리적 모음으로 그룹화할 수 있습니다. 를 사용하여 Shield Advanced 보호에 대한 변경 사항을 추적할 수도 있습니다 AWS Config.
**참고**
Shield Advanced는 Shield Advanced에서 또는 Shield Advanced AWS Firewall Manager 정책을 통해 지정한 리소스만 보호합니다. 이 기능은 리소스를 자동으로 보호하지 않습니다.
AWS Firewall Manager Shield Advanced 정책을 사용하는 경우 정책 범위에 있는 리소스에 대한 보호를 관리할 필요가 없습니다. Firewall Manager는 정책 구성에 따라 정책 범위 내에 있는 계정 및 리소스에 대한 보호를 자동으로 관리합니다. 자세한 내용은 [Firewall Manager에서 AWS Shield Advanced 정책 사용](shield-policies.md) 단원을 참조하십시오.
**Topics**
+ [가 AWS Shield Advanced 보호하는 리소스 목록](ddos-protections-by-resource-type.md)
+ [Shield Advanced로 Amazon EC2 인스턴스 및 Network Load Balancer 보호](ddos-protections-ec2-nlb.md)
+ [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md)
+ [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)
+ [AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md)
+ [AWS Shield Advanced 보호 편집](manage-protection.md)
+ [Shield Advanced로 보호하는 리소스에 대해 경보 및 알림 생성](add-alarm-ddos.md)
+ [AWS 리소스에서 AWS Shield Advanced 보호 제거](remove-protection.md)
+ [AWS Shield Advanced 보호 그룹화](ddos-protection-groups.md)
+ [에서 Shield Advanced 리소스 보호 변경 사항 추적 AWS Config](ddos-add-config.md)
# 가 AWS Shield Advanced 보호하는 리소스 목록
이 섹션에서는 각 리소스 유형에 대한 Shield Advanced 보호에 대한 정보를 제공합니다.
Shield Advanced는 네트워크 및 전송 계층(계층 3 및 4)과 애플리케이션 계층(계층 7)의 AWS 리소스를 보호합니다. 일부 리소스는 직접 보호하고 다른 리소스는 보호된 리소스와의 연결을 통해 보호할 수 있습니다. Shield Advanced는 IPv4를 지원하지만 IPv6는 지원하지 않습니다.
**참고**
Shield Advanced는 Shield Advanced를 통해 또는 AWS Firewall Manager Shield Advanced 정책을 통해 지정한 리소스만 보호합니다. 이 기능은 리소스를 자동으로 보호하지 않습니다.
다음 리소스 유형을 포함한 고급 모니터링 및 보호에 Shield Advanced를 사용할 수 있습니다.
+ Amazon CloudFront 배포. CloudFront 지속적 배포의 경우, Shield Advanced는 보호된 기본 배포와 연결된 모든 스테이징 배포를 보호합니다.
+ Amazon Route 53 호스팅 영역.
+ AWS Global Accelerator 표준 액셀러레이터.
+ Amazon EC2 탄력적 IP 주소. Shield Advanced는 보호된 탄력적 IP 주소와 연결된 리소스를 보호합니다.
+ Amazon EC2 인스턴스, Amazon EC2 탄력적 IP 주소와의 연결을 통해.
+ 다음 유형의 Elastic Load Balancing(ELB) 로드 밸런서:
+ Application Load Balancers.
+ Classic Load Balancer
+ Network Load Balancer, Amazon EC2 탄력적 IP 주소와의 연결을 통해.
**참고**
그 외의 리소스 유형은 Shield Advanced를 사용하여 보호할 수 없습니다. 예를 들어 AWS Global Accelerator 사용자 지정 라우팅 액셀러레이터나 Gateway Load Balancer는 보호할 수 없습니다.
**참고**
NAT 게이트웨이는 아웃바운드 트래픽만 처리하는 반면, Shield Advanced는 인바운드 DDoS로부터 보호합니다. 아웃바운드 트래픽 보호의 경우를 사용합니다[AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html).
각 리소스 유형에 대해 AWS 계정당 최대 1,000개의 리소스를 모니터링하고 보호할 수 있습니다. 예를 들어, 단일 계정에서, 1,000개의 Amazon EC2 Elastic IP 주소, 1,000개의 CloudFront 배포 및 1,000개의 Application Load Balancer를 보호할 수 있습니다. [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)의 Service Quotas 콘솔을 통해 Shield Advanced로 보호할 수 있는 리소스 수를 늘려줄 것을 요청할 수 있습니다.
# Shield Advanced로 Amazon EC2 인스턴스 및 Network Load Balancer 보호
이 페이지에서는 Amazon EC2 인스턴스 및 Network Load Balancer에 대한 AWS Shield Advanced 보호를 사용하는 방법을 설명합니다.
먼저 이러한 리소스를 탄력적 IP 주소에 연결한 다음 Shield Advanced에서 탄력적 IP 주소를 보호함으로써 Amazon EC2 인스턴스와 Network Load Balancer를 보호할 수 있습니다.
탄력적 IP 주소를 보호하는 경우, Shield Advanced는 탄력적 IP 주소가 연결된 리소스를 식별하고 보호합니다. Shield Advanced는 탄력적 IP 주소에 연결된 리소스 유형을 자동으로 식별하고 해당 리소스에 적절한 탐지 및 완화 조치를 적용합니다. 여기에는 탄력적 IP 주소에 따라 네트워크 ACL을 구성하는 작업도 포함됩니다. AWS 리소스와 함께 탄력적 IP 주소를 사용하는 방법에 대한 자세한 내용은 다음 가이드를 참조하세요: [Amazon Elastic Compute Cloud 설명서](https://docs.aws.amazon.com/ec2/) 또는 [Elastic Load Balancing 설명서](https://docs.aws.amazon.com/elasticloadbalancing/)를 참조하세요.
공격 중에 Shield Advanced는 네트워크 경계에 AWS 네트워크 ACLs을 자동으로 배포합니다. 네트워크 ACL이 네트워크의 경계에 있는 경우, Shield Advanced에서는 더 큰 DDoS 이벤트에 대한 보호를 제공할 수 있습니다. 일반적으로 네트워크 ACL은 Amazon VPC 내에서 근접한 Amazon EC2 인스턴스에 적용됩니다. 네트워크 ACL은 Amazon VPC와 인스턴스가 처리할 수 있을 정도의 큰 공격만 완화할 수 있습니다. 예를 들어, Amazon EC2 인스턴스에 연결된 네트워크 인터페이스가 최대 10Gbps를 처리할 수 있는 경우, 10Gbps를 초과하는 볼륨은 느려지며 해당 인스턴스에 대한 트래픽이 차단될 수 있습니다. 공격 시에 Shield Advanced는 네트워크 ACL을 AWS 경계로 승격시켜 다수 테라바이트의 트래픽을 처리할 수 있습니다. 네트워크 ACL은 네트워크의 일반적인 용량 이상으로 리소스에 대한 보호를 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 내용은 [네트워크 ACL](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)을 참조하세요.
와 같은 일부 조정 도구를 사용하면 탄력적 IP 주소를 Network Load Balancer에 자동으로 연결할 수 AWS Elastic Beanstalk없습니다. 이러한 경우에는 탄력적 IP 주소를 수동으로 연결해야 합니다.
# AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF
이 페이지에서는 Shield Advanced와가 함께 AWS WAF 작동하여 애플리케이션 계층(계층 7)에서 리소스를 보호하는 방법을 설명합니다.
Shield Advanced로 애플리케이션 계층 리소스를 보호하려면 먼저 AWS WAF 웹 ACL을 리소스에 연계하고 여기에 하나 이상의 속도 기반 규칙을 추가합니다. 또한 자동 애플리케이션 계층 DDoS 완화를 활성화하여 Shield Advanced가 DDoS 공격에 대응하여 사용자 대신 웹 ACL 규칙을 자동으로 생성하고 관리하도록 할 수 있습니다.
Shield Advanced로 애플리케이션 계층 리소스를 보호하는 경우, Shield Advanced는 시간 경과에 따른 트래픽을 분석하여 기준을 설정하고 유지합니다. Shield Advanced는 이러한 기준을 사용하여 DDoS 공격을 나타낼 수 있는 트래픽 패턴의 이상을 감지합니다. Shield Advanced가 공격을 감지하는 시점은 Shield Advanced가 공격 이전에 관찰할 수 있었던 트래픽과 웹 애플리케이션에 사용하는 아키텍처에 따라 달라집니다. Shield Advanced 동작에 영향을 줄 수 있는 아키텍처 변형에는 사용하는 인스턴스 타입, 인스턴스 크기, 인스턴스 타입이 향상된 네트워킹을 지원하는지 여부 등이 포함됩니다. 애플리케이션 계층 공격에 대한 완화 기능을 자동으로 배치하도록 Shield Advanced를 구성할 수도 있습니다.
**Shield Advanced 구독 및 AWS WAF 비용**
Shield Advanced 구독에는 Shield Advanced로 보호하는 리소스에 표준 AWS WAF 기능을 사용하는 비용이 포함됩니다. Shield Advanced 보호가 적용되는 표준 AWS WAF 요금은 보호 팩당 비용(웹 ACL), 규칙당 비용, 웹 요청 검사에 대한 백만 요청당 기본 가격, 최대 1,500WCUs 및 기본 본문 크기입니다.
Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md), [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md), [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.
Shield Advanced 구독은 Shield Advanced를 사용하여 보호하지 않는 리소스에 AWS WAF 대한 사용을 다루지 않습니다. 또한 보호된 리소스에 대한 비표준 추가 AWS WAF 비용도 부담하지 않습니다. 비표준 AWS WAF 비용의 예로는 Bot Control, CAPTCHA 규칙 작업, 1,500개 이상의 WCUs ACLs, 기본 본문 크기를 초과하는 요청 본문 검사 등이 있습니다. 전체 목록은 AWS WAF 요금 페이지에 나와 있습니다. Shield Advanced 구독에는 계층 7 DDoS Amazon Managed Rule 그룹에 대한 액세스 권한이 포함됩니다. 구독의 일부로 한 달에 최대 500억 개의 Shield Advanced 보호 AWS WAF 리소스 요청을 받게 됩니다. 500억 개를 초과하는 요청은 AWS Shield Advanced 요금 페이지에 따라 청구됩니다.
전체 정보 및 요금 예는 [Shield 요금](https://aws.amazon.com/shield/pricing/) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
**Topics**
+ [Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록](ddos-app-layer-detection-mitigation.md)
+ [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md)
+ [AWS WAF 속도 기반 규칙 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-rbr.md)
+ [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)
# Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록
이 섹션에서는 Shield Advanced의 애플리케이션 계층 이벤트 감지 및 완화에 영향을 미치는 요인에 대해 설명합니다.
**건전성 체크**
애플리케이션의 전반적인 상태를 정확하게 보고하는 상태 확인은 애플리케이션이 겪고 있는 트래픽 조건에 대한 정보를 Shield Advanced에 제공합니다. Shield Advanced는 애플리케이션이 비정상으로 보고될 때 잠재적 공격을 가리키는 정보를 적게 요구하고 애플리케이션이 정상으로 보고될 경우 공격에 대한 증거를 더 많이 요구합니다.
애플리케이션 상태를 정확하게 보고하도록 상태 확인을 구성하는 것이 중요합니다. 자세한 정보 및 지침은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)(을)를 참조하세요.
**트래픽 기준**
트래픽 기준은 애플리케이션의 정상 트래픽 특성에 대한 Shield Advanced 정보를 제공합니다. Shield Advanced는 이러한 기준을 사용하여 애플리케이션이 정상 트래픽을 수신하지 못하는 시점을 인식하므로, 사용자에게 알리고, 구성된 대로 완화 옵션을 고안하고 테스트하여 잠재적 공격에 대응할 수 있습니다. Shield Advanced가 트래픽 기준을 사용하여 잠재적 이벤트를 감지하는 방법에 대한 자세한 내용은 개요 [애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직](ddos-event-detection-application.md) 섹션을 참조하세요.
Shield Advanced는 보호된 리소스와 연결된 웹 ACL에서 제공하는 정보에서 기준을 생성합니다. Shield Advanced가 애플리케이션의 기준을 안정적으로 결정하기 전에 웹 ACL을 최소 24시간에서 최대 30일 동안 리소스에 연결해야 합니다. 필요한 시간은 Shield Advanced 또는 AWS WAF를 통해 웹 ACL을 연결할 때 시작됩니다.
Shield Advanced 애플리케이션 계층 보호와 함께 웹 ACL을 사용하는 방법에 대한 자세한 내용은 [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md) 섹션을 참조하세요.
**속도 기반 규칙**
속도 기반 규칙은 공격을 완화하는 데 도움이 될 수 있습니다. 또한 정상적인 트래픽 기준 또는 상태 확인 상태 보고에 표시할 수 있을 만큼 충분히 큰 문제가 되기 전에 공격을 완화하여 공격을 숨길 수도 있습니다.
Shield Advanced로 애플리케이션 리소스를 보호할 때는 웹 ACL에서 속도 기반 규칙을 사용하는 것이 좋습니다. 완화 조치로 인해 잠재적 공격이 가려질 수 있지만, 이는 중요한 1차 방어선으로, 합법적인 고객이 애플리케이션을 계속 사용할 수 있도록 하는 데 도움이 됩니다. 속도 기반 규칙이 감지하는 트래픽과 속도 제한은 AWS WAF 지표에 표시됩니다.
자체 속도 기반 규칙 외에도 자동 애플리케이션 계층 DDoS 완화를 활성화하면 Shield Advanced는 공격을 완화하는 데 사용하는 규칙 그룹을 웹 ACL에 추가합니다. 이 규칙 그룹에서 Shield Advanced에는 항상 DDoS 공격의 원인으로 알려진 IP 주소의 요청 양을 제한하는 장소에 속도 기반 규칙이 있습니다. Shield Advanced 규칙에서 완화하는 트래픽에 대한 지표는 볼 수 없습니다.
속도 기반 규칙에 대한 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 섹션을 참조하세요. Shield Advanced에서 자동 애플리케이션 계층 DDoS 완화를 위해 사용하는 속도 기반 규칙에 대한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 섹션을 참조하세요.
Shield Advanced 및 AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요[Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md).
# AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호
이 페이지에서는 AWS WAF 웹 ACLs과 Shield Advanced가 함께 작동하여 기본 애플리케이션 계층 보호를 생성하는 방법을 설명합니다.
Shield Advanced로 애플리케이션 계층 리소스를 보호하려면 먼저 웹 ACL을 AWS WAF 리소스와 연결합니다. AWS WAF 는 애플리케이션 계층 리소스로 전달되는 HTTP 및 HTTPS 요청을 모니터링하고 요청의 특성에 따라 콘텐츠에 대한 액세스를 제어할 수 있는 웹 애플리케이션 방화벽입니다. 요청이 기원된 위치, 쿼리 문자열 및 쿠키의 내용, 단일 IP 주소에서 들어오는 요청의 비율과 같은 요소에 근거하여 요청을 모니터링하고 관리하도록 웹 ACL을 구성할 수 있습니다. Shield Advanced 보호를 사용하려면 최소한 웹 ACL을 속도 기반 규칙과 연계해야 합니다. 이 규칙은 각 IP 주소에 대한 요청 속도를 제한합니다.
연계된 웹 ACL에 속도 기반 규칙이 정의되어 있지 않은 경우, Shield Advanced는 하나 이상의 규칙을 정의하라는 메시지를 표시합니다. 속도 기반 규칙은 소스 IP가 정의된 임계값을 초과하는 경우, 소스 IP의 트래픽을 자동으로 차단합니다. 속도 기반 규칙은 웹 요청 홍수로부터 애플리케이션을 보호하는 데 도움이 되며, 잠재적인 DDoS 공격으로 이어질 수 있는 갑작스러운 트래픽 급증에 대한 알림을 제공할 수 있습니다.
**참고**
속도 기반 규칙은 규칙이 모니터링하는 트래픽의 급증에 매우 빠르게 응답합니다. 따라서 속도 기반 규칙은 공격뿐만 아니라 Shield Advanced 탐지를 통한 잠재적 공격 탐지도 방지할 수 있습니다. 이러한 트레이드 오프는 공격 패턴에 대한 완전한 가시성보다 예방에 유리합니다. 속도 기반 규칙을 공격에 대한 1차 방어선으로 사용하는 것이 좋습니다.
웹 ACL을 사용하면 DDoS 공격이 발생할 경우, 웹 ACL에서 규칙을 추가하고 관리하여 완화를 적용할 수 있습니다. 이 작업은 Shield 대응팀(SRT)의 도움을 받아 직접 수행하거나 자동 애플리케이션 계층 DDoS 완화를 통해 자동으로 수행할 수 있습니다.
**중요**
자동 애플리케이션 계층 DDoS 완화도 사용하는 경우 [자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례](ddos-automatic-app-layer-response-bp.md)에서 웹 ACL을 관리하는 모범 사례를 참조하세요.
AWS WAF 를 사용하여 웹 요청 모니터링 및 관리 규칙을 관리하는 방법에 대한 자세한 내용은 섹션을 참조하세요[에서 보호 팩(웹 ACL) 생성 AWS WAF](web-acl-creating.md).
# AWS WAF 속도 기반 규칙 및 Shield Advanced를 사용하여 애플리케이션 계층 보호
이 페이지에서는 AWS WAF 속도 기반 규칙과 Shield Advanced가 협력하여 기본 애플리케이션 계층 보호를 생성하는 방법을 설명합니다.
기본 구성과 함께 속도 기반 규칙을 사용하는 경우는 이전 5분 기간의 트래픽을 AWS WAF 주기적으로 평가합니다.는 요청 속도가 허용 가능한 수준으로 떨어질 때까지 규칙의 임계값을 초과하는 IP 주소의 요청을 AWS WAF 차단합니다. Shield Advanced를 통해 속도 기반 규칙을 구성할 때는 5분 내에 하나의 소스 IP에서 예상하는 정상 트래픽 속도보다 큰 값으로 속도 임계값을 구성합니다.
웹 ACL에서 속도 기반 규칙을 두 개 이상 사용하고 싶을 수도 있습니다. 예컨대, 임계값이 높은 모든 트래픽에 대한 속도 기반 규칙 하나와 웹 애플리케이션의 특정 부분과 일치하도록 구성되고 임계값이 더 낮은 추가 규칙을 하나 이상 추가할 수 있습니다. 예를 들어, URI `/login.html`를 낮은 임계값으로 일치시켜 로그인 페이지에 대한 침해를 완화할 수 있습니다.
다른 평가 기간을 사용하고 헤더 값, 레이블 및 쿼리 인수와 같은 여러 요청 구성 요소별로 요청을 집계하도록 속도 기반 규칙을 구성할 수 있습니다. 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 단원을 참조하십시오.
추가 정보 및 지침은 보안 블로그 게시물 [가장 중요한 세 가지 AWS WAF 속도 기반 규칙을](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/) 참조하세요.
**를 통해 구성 옵션 확장 AWS WAF**
Shield Advanced 콘솔을 사용하면 속도 기반 규칙을 추가하고 기초, 기본 설정으로 구성할 수 있습니다. 를 통해 속도 기반 규칙을 관리하여 추가 구성 옵션을 정의할 수 있습니다 AWS WAF. 예컨대, 전달된 IP 주소, 쿼리 문자열, 레이블 등의 키 기준의 요청을 집계하도록 규칙을 구성할 수 있습니다. 규칙에 범위 축소 문을 추가하여 평가 및 속도 제한에서 일부 요청을 필터링할 수도 있습니다. 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 단원을 참조하십시오.
# Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화
**참고**
2026년 3월 26일부터 용 안티 DDoS 관리형 규칙 그룹(항 DDOS AMR)이 HTTP 요청 플러드 공격으로부터 보호하기 위한 기본 솔루션이 AWS WAF 됩니다([항 DDoS AMR 시작 블로그](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) 참조). 계층 7 자동 완화(L7AM) 기능을 대체합니다. 기존 Shield Advanced 고객인 경우 기존 계정 또는 새 AWS 계정에서 레거시 솔루션을 계속 사용할 수 있습니다. 그러나 Anti-DDoS 관리형 규칙 그룹을 채택하는 것이 좋습니다. Anti-DDoS 관리형 규칙 그룹은 몇 분 이내에 공격을 탐지하고 완화합니다. Shield Advanced를 처음 사용하는 고객이 레거시 솔루션에 액세스해야 하는 경우 AWS Support에 문의하세요.
이 페이지에서는 자동 애플리케이션 계층 DDoS 완화에 대한 주제를 소개하고 관련 주의 사항을 나열합니다.
보호된 애플리케이션 계층 리소스에 대한 애플리케이션 계층(계층 7) 공격을 완화하도록 Shield Advanced를 구성하여 공격의 일부인 웹 요청을 세거나 차단함으로써 자동으로 대응하도록 구성할 수 있습니다. 이 옵션은 AWS WAF 웹 ACL 및 자체 속도 기반 규칙을 사용하여 Shield Advanced를 통해 추가하는 애플리케이션 계층 보호에 추가됩니다.
리소스에 대해 자동 완화가 활성화되면 Shield Advanced는 리소스를 대표하여 완화 규칙을 관리하는 리소스의 관련 웹 ACL에 규칙 그룹을 유지 관리합니다. 규칙 그룹에는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 추적하는 속도 기반 규칙이 포함되어 있습니다.
또한, Shield Advanced는 현재 트래픽 패턴을 과거 트래픽 베이스라인과 비교하여 DDoS 공격을 표시할 수 있는 편차를 감지합니다. Shield Advanced는 규칙 그룹에서 추가 사용자 지정 AWS WAF 규칙을 생성, 평가 및 배포하여 탐지된 DDoS 공격에 대응합니다.
## 자동 애플리케이션 계층 DDoS 완화 사용에 관한 주의 사항
다음 목록은 Shield Advanced 자동 애플리케이션 계층 DDoS 완화에 대한 경고 사항을 설명하고 이에 대응하여 취해야 할 조치를 설명합니다.
+ 자동 애플리케이션 계층 DDoS 완화는 (v2)의 최신 버전을 사용하여 생성된 보호 팩 AWS WAF (웹 ACLs)에서만 작동합니다.
+ Shield Advanced는 애플리케이션의 정상적이고 과거 트래픽의 기준을 설정하는 데 시간이 필요하며, 이를 활용하여 정상 트래픽에서 공격 트래픽을 탐지하고 격리하여 공격 트래픽을 완화합니다. 기준 설정 시간은 웹 ACL을 보호된 애플리케이션 리소스와 연결한 시간으로부터 24시간에서 30일 사이입니다. 트래픽 기준에 대한 자세한 내용은 [Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록](ddos-app-layer-detection-mitigation.md) 섹션을 참조하세요.
+ 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 및 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.
+ Shield Advanced 규칙 그룹은 AWS WAF 지표를 생성하지만 볼 수 없습니다. 이는 AWS 관리형 규칙 그룹과 같이 보호 팩(웹 ACL)에서 사용하지만 소유하지 않는 다른 규칙 그룹의 경우와 동일합니다. AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요[AWS WAF 지표 및 차원](waf-metrics.md). 이 Shield Advanced 보호 옵션에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](#ddos-automatic-app-layer-response)을 참조하세요.
+ 여러 리소스를 보호하는 웹 ACL의 경우 자동 완화는 보호되는 리소스에 부정적인 영향을 미치지 않는 사용자 지정 완화만 배포합니다.
+ DDoS 공격이 시작된 시점부터 Shield Advanced가 사용자 지정 자동 완화 규칙을 적용하는 시점까지의 시간은 각 이벤트에 따라 다릅니다. 일부 DDoS 공격은 사용자 지정 규칙이 배포되기 전에 종료될 수 있습니다. 완화 조치가 이미 마련되어 있을 때 다른 공격이 발생할 수 있으며, 따라서 이벤트 시작부터 이러한 규칙에 의해 완화될 수 있습니다. 또한 웹 ACL 및 Shield Advanced 규칙 그룹의 속도 기반 규칙은 가능한 이벤트로 감지되기 전에 공격 트래픽을 완화할 수 있습니다.
+ Amazon CloudFront와 같은 콘텐츠 배포 네트워크(CDN)를 통해 트래픽을 수신하는 Application Load Balancer의 경우, 해당 Application Load Balancer 리소스에 대한 Shield Advanced의 애플리케이션 계층 자동 완화 기능이 감소합니다. Shield Advanced는 클라이언트 트래픽 속성을 사용하여 애플리케이션으로 들어오는 일반 트래픽으로부터 공격 트래픽을 식별하고 분리하며, CDN은 원래 클라이언트 트래픽 속성을 보존하거나 전달하지 않을 수 있습니다. CloudFront를 사용하는 경우, CloudFront 배포에서 자동 완화 기능을 활성화하는 것이 좋습니다.
+ 자동 애플리케이션 계층 DDoS 완화는 보호 그룹과 상호 작용하지 않습니다. 보호 그룹에 있는 리소스에 대해 자동 완화를 활성화할 수 있지만 Shield Advanced는 보호 그룹 결과에 근거하여 공격 완화를 자동으로 적용하지 않습니다. Shield Advanced는 개별 리소스에 대한 자동 공격 완화 기능을 적용합니다.
**Contents**
+ [자동 애플리케이션 계층 DDoS 완화 사용에 관한 주의 사항](#ddos-automatic-app-layer-response-caveats)
+ [자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례](ddos-automatic-app-layer-response-bp.md)
+ [자동 애플리케이션 계층 DDoS 완화 활성화](ddos-automatic-app-layer-response-config.md)
+ [자동 완화 기능을 활성화하면 발생하는 상황](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md)
+ [Shield Advanced가 자동 방어 기능을 통해 DDoS 공격에 대응하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced가 규칙 작업 설정을 관리하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
+ [공격이 감소할 때 Shield Advanced가 완화 기능을 관리하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
+ [자동 완화 기능을 비활성화하면 발생하는 상황](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md)
+ [리소스에 대한 자동 애플리케이션 계층 DDoS 완화 구성 보기](view-automatic-app-layer-response-configuration.md)
+ [자동 애플리케이션 계층 DDoS 완화 활성화 및 비활성화](enable-disable-automatic-app-layer-response.md)
+ [자동 애플리케이션 계층 DDoS 완화에 사용되는 조치 변경](change-action-of-automatic-app-layer-response.md)
+ [자동 애플리케이션 계층 DDoS 완화와 AWS CloudFormation 함께 사용](manage-automatic-mitigation-in-cfn.md)
# 자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례
자동 완화를 사용할 때는 이 섹션에 제공된 지침을 준수하세요.
**일반 보호 및 관리**
자동 완화 보호를 계획하고 구현하려면 다음 지침을 따르십시오.
+ Shield Advanced를 통해 또는를 사용하여 Shield Advanced 자동 완화 설정을 관리하는 경우 Firewall Manager AWS Firewall Manager 를 통해 모든 자동 완화 보호를 관리합니다. Shield Advanced와 Firewall Manager를 혼용하여 이러한 보호 기능을 관리하지 마십시오.
+ 동일한 웹 ACL과 보호 설정을 사용하여 유사한 리소스를 관리하고, 서로 다른 웹 ACL을 사용하여 서로 다른 리소스를 관리하세요. Shield Advanced는 보호된 리소스에 대한 DDoS 공격을 방어할 때 해당 리소스와 연계된 웹 ACL에 대한 규칙을 정의한 다음 웹 ACL과 연계된 모든 리소스의 트래픽에 대해 규칙을 테스트합니다. Shield Advanced는 관련 리소스에 부정적인 영향을 미치지 않는 경우에만 규칙을 적용합니다. 자세한 설명은 [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md) 섹션을 참조하세요.
+ Amazon CloudFront 배포를 통해 모든 인터넷 트래픽이 프록시되는 Application Load Balancer의 경우, CloudFront 배포에서만 자동 완화를 활성화하십시오. CloudFront 배포에는 원래 트래픽 속성이 항상 가장 많으며, Shield Advanced는 이를 활용하여 공격을 완화합니다.
**탐지 및 완화 최적화**
다음 지침에 따라 자동 완화가 보호된 리소스에 제공하는 보호를 최적화합니다. 애플리케이션 계층 감지 및 완화에 대한 개요는 [Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록](ddos-app-layer-detection-mitigation.md) 섹션을 참조하세요.
+ 보호된 리소스에 대한 상태 확인을 구성하고 이를 사용하여 Shield Advanced 보호에서 상태 기반 감지를 활성화합니다. 자세한 지침은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)을 참조하세요.
+ Shield Advanced가 정상적이고 기록적인 트래픽에 대한 기준을 설정할 때까지 Count 모드에서 자동 완화를 활성화합니다. Shield Advanced는 기준을 설정하는 데 24시간에서 30일까지 필요합니다.
정상 트래픽 패턴의 기준을 설정하려면 다음이 필요합니다.
+ 웹 ACL과 보호된 리소스의 연결입니다. Shield Advanced 애플리케이션 계층 보호를 활성화하고 사용할 웹 ACL을 지정할 때를 사용하여 웹 ACL을 AWS WAF 직접 연결하거나 Shield Advanced가 연결하도록 할 수 있습니다.
+ 보호된 애플리케이션으로의 정상적인 트래픽 흐름입니다. 애플리케이션이 시작되기 전과 같이 정상적인 트래픽이 발생하지 않거나 장기간 프로덕션 트래픽이 부족한 경우 기록 데이터를 수집할 수 없습니다.
**웹 ACL 관리**
자동 완화 기능과 함께 사용되는 웹 ACL을 관리하려면 다음 지침을 따르세요.
+ 보호된 리소스와 연결된 웹 ACL을 교체해야 하는 경우 순서대로 다음을 변경합니다.
1. Shield Advanced에서 자동 완화를 비활성화합니다.
1. 에서 이전 웹 ACL의 연결을 AWS WAF해제하고 새 웹 ACL을 연결합니다.
1. Shield Advanced에서 자동 완화를 활성화합니다.
Shield Advanced는 이전 웹 ACL에서 새 웹 ACL로 자동 완화를 자동으로 전송하지 않습니다.
+ 명칭이 `ShieldMitigationRuleGroup`으로 시작하는 웹 ACL에서 규칙 그룹 규칙을 삭제하지 마십시오. 이 규칙 그룹을 삭제하려는 경우 웹 ACL과 연계된 모든 리소스에 대해 Shield Advanced 자동 완화 기능이 제공하는 보호 기능을 비활성화합니다. 또한 Shield Advanced가 변경 알림을 받고 설정을 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 이 기간 동안에는 Shield Advanced 콘솔 페이지에 올바르지 않은 정보가 표시됩니다.
규칙 그룹에 대한 자세한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 섹션을 참조하세요.
+ 명칭이 `ShieldMitigationRuleGroup`으로 시작하는 규칙 그룹 규칙의 명칭은 수정하지 마세요. 이렇게 하면 웹 ACL을 통한 Shield Advanced 자동 완화 기능이 제공하는 보호 기능에 방해가 될 수 있습니다.
+ 규칙과 규칙 그룹을 생성할 때는 `ShieldMitigationRuleGroup`으로 시작하는 명칭을 사용하지 마세요. 이 문자열은 Shield Advanced에서 자동 완화 기능을 관리하는 데 사용됩니다.
+ 웹 ACL 규칙을 관리할 때 우선 순위 설정을 10,000,000으로 지정하지 마세요. Shield Advanced는 자동 완화 규칙 그룹 규칙을 추가할 때 이 우선 순위 설정을 자동 완화 규칙 그룹 규칙에 할당합니다.
+ `ShieldMitigationRuleGroup` 규칙의 우선 순위를 지정하여 웹 ACL의 다른 규칙과 관련하여 원하는 시간에 실행되도록 하세요. Shield Advanced는 우선 순위가 10,000,000인 규칙 그룹 규칙을 웹 ACL에 추가하여 다른 규칙 이후에 실행합니다. AWS WAF 콘솔 마법사를 사용하여 웹 ACL을 관리하는 경우 웹 ACL에 규칙을 추가한 후 필요에 따라 우선 순위 설정을 조정합니다.
+ AWS CloudFormation 를 사용하여 웹 ACLs 관리하는 경우 `ShieldMitigationRuleGroup` 규칙 그룹 규칙을 관리할 필요가 없습니다. [자동 애플리케이션 계층 DDoS 완화와 AWS CloudFormation 함께 사용](manage-automatic-mitigation-in-cfn.md)의 지침을 따르십시오.
# 자동 애플리케이션 계층 DDoS 완화 활성화
이 페이지에서는 애플리케이션 계층 공격에 자동으로 대응하도록 Shield Advanced를 구성하는 방법에 대해 설명합니다.
Shield Advanced 자동 완화는 리소스에 대한 애플리케이션 계층 DDoS 보호의 일부로 활성화합니다. 콘솔을 통해 이를 수행하는 방법은 [애플리케이션 계층 DDoS 보호 구성](manage-protection.md#configure-app-layer-protection) 섹션을 참조하세요.
자동 완화 기능을 사용하려면 다음을 수행해야 합니다.
+ **웹 ACL을 리소스에 연계** - 이는 모든 Shield Advanced 애플리케이션 계층 보호에 필요합니다. 여러 리소스에 동일한 웹 ACL을 사용할 수 있습니다. 트래픽이 비슷한 리소스에만 이 방법을 사용하는 것이 좋습니다. 여러 리소스와 함께 사용하기 위한 요구 사항을 포함하여 웹 ACL에 대한 자세한 설명은 [AWS WAF 작동 방식](how-aws-waf-works.md)을 참조하세요.
+ **Shield Advanced의 자동 애플리케이션 레이어 DDoS 방어 활성화 및 구성** - 이 기능을 활성화하면 Shield Advanced에서 DDoS 공격의 일부로 판단되는 웹 요청을 자동으로 차단 또는 계수할지 여부를 지정합니다. Shield Advanced는 관련 웹 ACL에 규칙 그룹을 추가하고 이를 사용하여 리소스에 대한 DDoS 공격에 대한 대응을 동적으로 관리합니다. 규칙 작업 옵션에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 섹션을 참조하세요.
+ **(선택 사항이지만 권장됨) 웹 ACL에 속도 기반 규칙 추가** - 기본적으로 속도 기반 규칙은 개별 IP 주소가 짧은 시간에 너무 많은 요청을 보내는 것을 방지하여 DDoS 공격에 대한 기본적인 리소스 보호 기능을 제공합니다. 맞춤 요청 집계 옵션 및 예를 비롯한 속도 기반 규칙에 대한 자세한 설명은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md)을 참조하세요.
## 자동 완화 기능을 활성화하면 발생하는 상황
Shield Advanced는 자동 완화 기능을 활성화하면 다음과 같은 작업을 수행합니다.
+ **필요에 따라는 Shield Advanced 사용을 위한 규칙 그룹을 추가합니다**. 리소스와 연결한 AWS WAF 웹 ACL에 자동 애플리케이션 계층 DDoS 완화 전용 AWS WAF 규칙 그룹 규칙이 아직 없는 경우 Shield Advanced는 규칙을 추가합니다.
규칙 그룹 규칙의 명칭은 `ShieldMitigationRuleGroup`으로 시작합니다. 규칙 그룹에는 `ShieldKnownOffenderIPRateBasedRule`으로 명명된 속도 기반 규칙이 항상 포함되어 있으며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다. Shield Advanced 규칙 그룹 및 이를 참조하는 웹 ACL 규칙에 대한 자세한 설명은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md)을 참조하세요.
+ **리소스에 대한 DDoS 공격 대응 시작** - Shield Advanced는 보호된 리소스에 대한 DDoS 공격에 자동으로 대응합니다. Shield Advanced는 항상 존재하는 속도 기반 규칙 외에도 규칙 그룹을 사용하여 DDoS 공격 완화를 위한 사용자 지정 AWS WAF 규칙을 배포합니다. Shield Advanced는 이러한 규칙을 애플리케이션과 애플리케이션에서 발생하는 공격에 맞게 조정하고 배포하기 전에 리소스의 과거 트래픽에 대해 테스트합니다.
Shield Advanced는 자동 완화에 사용하는 모든 웹 ACL에서 단일 규칙 그룹 규칙을 사용합니다. Shield Advanced가 다른 보호 리소스에 대한 규칙 그룹을 이미 추가한 경우 웹 ACL에 다른 규칙 그룹을 추가하지 않습니다.
자동 애플리케이션 계층 DDoS 완화는 공격을 완화하기 위한 규칙 그룹의 존재 여부에 따라 달라집니다. 어떤 이유로든 규칙 그룹이 AWS WAF 웹 ACL에서 제거되면 웹 ACL과 연결된 모든 리소스에 대한 자동 완화가 비활성화됩니다.
# Shield Advanced가 자동 완화를 관리하는 방법
섹션의 주제에서는 Shield Advanced가 자동 애플리케이션 계층 DDoS 완화를 위한 구성 변경을 처리하는 방법과 자동 완화가 활성화된 경우 DDoS 공격을 처리하는 방법을 설명합니다.
**Topics**
+ [Shield Advanced가 자동 방어 기능을 통해 DDoS 공격에 대응하는 방법](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced가 규칙 작업 설정을 관리하는 방법](#ddos-automatic-app-layer-response-rule-action)
+ [공격이 감소할 때 Shield Advanced가 완화 기능을 관리하는 방법](#ddos-automatic-app-layer-response-after-attack)
+ [자동 완화 기능을 비활성화하면 발생하는 상황](#ddos-automatic-app-layer-response-disable)
## Shield Advanced가 자동 방어 기능을 통해 DDoS 공격에 대응하는 방법
보호된 리소스에 자동 완화를 사용하도록 설정하면 Shield Advanced 규칙 그룹의 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`은(는) 알려진 DDoS 소스로부터 증가하는 트래픽 볼륨에 자동으로 응답합니다. 이 속도 제한은 신속하게 적용되며 공격에 대해 최전선 방어 역할을 합니다.
Shield Advanced는 공격을 탐지하면 다음과 같은 조치를 취합니다.
1. 애플리케이션으로 향하는 일반 트래픽으로부터 공격 트래픽을 분리하는 공격 시그니처를 식별하려고 시도합니다. 목표는 적용 시 공격 트래픽에만 영향을 미치고 애플리케이션에 대한 일반 트래픽에는 영향을 미치지 않는 고품질 DDoS 완화 규칙을 만드는 것입니다.
1. 공격을 받고 있는 리소스는 물론 동일한 웹 ACL과 연계된 다른 모든 리소스의 과거 트래픽 패턴을 기준으로 식별된 공격 시그니처를 평가합니다. Shield Advanced는 이벤트에 대한 응답으로 규칙을 배포하기 전에 이 작업을 수행합니다.
평가 결과에 따라 Shield Advanced는 다음 중 하나를 수행합니다.
+ Shield Advanced는 공격 시그니처가 DDoS 공격과 관련된 트래픽만 격리한다고 판단하면 웹 ACL의 Shield Advanced 완화 AWS WAF 규칙 그룹에 속하는 규칙에 서명을 구현합니다. Shield Advanced는 리소스의 자동 완화를 위해 구성한 작업 설정(Count 또는 Block)을 이러한 규칙에 제공합니다.
+ 그렇지 않으면 Shield Advanced는 완화 조치를 취하지 않습니다.
공격 내내 Shield Advanced는 기본 Shield Advanced 애플리케이션 계층 보호와 동일한 알림을 보내고 동일한 이벤트 정보를 제공합니다. Shield Advanced 이벤트 콘솔에서 이벤트 및 DDoS 공격에 대한 정보와 공격에 대한 Shield Advanced 완화 조치에 대한 정보를 확인할 수 있습니다. 자세한 설명은 [Shield Advanced를 사용한 DDoS 이벤트 가시성](ddos-viewing-events.md)을 참조하세요.
Block 규칙 동작을 사용하도록 자동 완화를 구성했는데 Shield Advanced가 배포한 완화 규칙에서 오감지가 발생하는 경우, 규칙 조치를 Count로 변경할 수 있습니다. 이를 위한 방법에 관한 정보는 [자동 애플리케이션 계층 DDoS 완화에 사용되는 조치 변경](change-action-of-automatic-app-layer-response.md) 섹션을 참조하세요.
## Shield Advanced가 규칙 작업 설정을 관리하는 방법
자동 완화에 대한 규칙 조치를 Block 또는 Count(으)로 설정할 수 있습니다.
보호된 리소스에 대한 자동 완화 규칙 작업 설정을 변경하면 Shield Advanced는 해당 리소스에 대한 모든 규칙 설정을 업데이트합니다. Shield Advanced 규칙 그룹의 리소스에 대해 현재 적용되는 모든 규칙을 업데이트하고 새 규칙을 생성할 때 새 작업 설정을 사용합니다.
동일한 웹 ACL을 사용하는 리소스의 경우 다른 작업을 지정하는 경우 Shield Advanced는 규칙 그룹의 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`에 대한 Block 작업 설정을 사용합니다. Shield Advanced는 특정 보호 리소스를 대표하여 규칙 그룹에서 다른 규칙을 생성 및 관리하고, 리소스에 대해 지정한 작업 설정을 사용합니다. 웹 ACL의 Shield Advanced 규칙 그룹에 있는 모든 규칙은 모든 관련 리소스의 웹 트래픽에 적용됩니다.
작업 설정 변경 내용이 전파되는 데 몇 초 가량 걸릴 수 있습니다. 이 시간 동안 규칙 그룹이 사용 중인 일부 위치에서는 이전 설정이 표시되고 다른 위치에서는 새 설정이 표시될 수 있습니다.
콘솔의 이벤트 페이지와 애플리케이션 계층 구성 페이지를 통해 자동 완화 구성에 대한 규칙 작업 설정을 변경할 수 있습니다. 이벤트 페이지에 대한 자세한 설명은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md) 섹션을 참조하세요. 구성 페이지에 대한 자세한 설명은 [애플리케이션 계층 DDoS 보호 구성](manage-protection.md#configure-app-layer-protection) 섹션을 참조하세요.
## 공격이 감소할 때 Shield Advanced가 완화 기능을 관리하는 방법
Shield Advanced는 특정 공격에 배포된 완화 규칙이 더 이상 필요하지 않다고 판단되면 Shield Advanced 완화 규칙 그룹에서 해당 완화 규칙을 제거합니다.
완화 규칙이 제거된다고 해서 반드시 공격이 종료되는 시점은 아닙니다. Shield Advanced는 보호된 리소스에서 감지한 공격 패턴을 모니터링합니다. 공격의 초기 발생에 대비하여 배포한 규칙을 그대로 유지함으로써 특정 시그니처를 사용한 공격의 재발을 사전에 방지할 수 있습니다. Shield Advanced는 필요에 따라 규칙을 제자리에 유지하는 시간을 늘립니다. 이렇게 하면 Shield Advanced가 특정 시그니처를 사용한 반복적인 공격이 보호된 리소스에 영향을 미치기 전에 이를 완화할 수 있습니다.
Shield Advanced는 절대 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`을(를) 제거하지 않으며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다.
## 자동 완화 기능을 비활성화하면 발생하는 상황
Shield Advanced는 리소스에 대한 자동 완화 기능을 비활성화하면 다음 작업을 수행합니다:
+ **DDoS 공격에 대한 자동 대응 중지** - Shield Advanced는 해당 리소스에 대한 자동 대응 활동을 중단합니다.
+ **Shield Advanced 규칙 그룹에서 불필요한 규칙 제거** - Shield Advanced가 보호된 리소스를 대신하여 관리형 규칙 그룹의 규칙을 유지 관리하는 경우, 해당 규칙을 제거합니다.
+ **더 이상 사용하지 않는 경우, Shield Advanced 규칙 그룹 제거** - 리소스에 연계한 웹 ACL이 자동 완화가 활성화된 다른 리소스에 연계되지 않은 경우, Shield Advanced는 해당 규칙 그룹 규칙을 웹 ACL에서 제거합니다.
# Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호
이 페이지에서는 Shield Advanced 규칙 그룹이 웹 ACL에서 작동하는 방법을 설명합니다.
Shield Advanced는 사용자를 대신하여 소유하고 관리하는 규칙 그룹의 규칙을 사용하여 자동 완화 활동을 관리합니다. Shield Advanced는 보호된 리소스와 연결한 웹 ACL의 규칙을 사용하여 규칙 그룹을 참조합니다.
**웹 ACL의 규칙 그룹 규칙**
웹 ACL의 Shield Advanced 규칙 그룹 규칙에는 다음과 같은 속성이 있습니다.
+ **명칭** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **웹 ACL 용량 단위(WCU)** – 150. 이러한 WCU는 웹 ACL의 WCU 사용량에 포함됩니다.
Shield Advanced는 우선 순위 설정이 10,000,000인 웹 ACL에이 규칙을 생성하므로 웹 ACL의 다른 규칙 및 규칙 그룹 이후에 실행됩니다.는 가장 낮은 숫자 우선 순위 설정부터 웹 ACL의 규칙을 AWS WAF 실행합니다. 웹 ACL을 관리하는 동안 이 우선순위 설정은 변경될 수 있습니다.
자동 완화 기능은 웹 ACL에 있는 규칙 그룹에서 사용되는 WCU 외의 계정에서 추가 AWS WAF 리소스를 소비하지 않습니다. 예컨대, Shield Advanced 규칙 그룹은 계정의 규칙 그룹 중 하나로 간주되지 않습니다. 의 계정 제한에 대한 자세한 내용은 섹션을 AWS WAF참조하세요[AWS WAF 할당량](limits.md).
**규칙 그룹의 규칙**
참조된 Shield Advanced 규칙 그룹 내에서 Shield Advanced는 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`을(를) 유지하며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다. 이 규칙은 항상 규칙 그룹에 존재하며 공격을 억제하기 위해 트래픽 패턴 분석에 의존하지 않기 때문에 모든 공격에 대한 1차 방어선 역할을 합니다. 이 규칙의 작업은 규칙 그룹의 다른 규칙과 마찬가지로 자동 완화를 위해 선택한 작업으로 설정됩니다. 속도 기반 규칙에 대한 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 섹션을 참조하세요.
**참고**
속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`은 Shield Advanced 이벤트 감지와 독립적으로 작동합니다. 자동 완화가 활성화되어 있는 동안 이 규칙 속도는 DDoS 공격의 소스로 알려진 IP 주소를 제한합니다. 이러한 IP 주소의 경우 규칙의 속도 제한이 공격을 방지하고 Shield Advanced 탐지 정보에 공격이 표시되지 않도록 할 수 있습니다. 이러한 트레이드 오프는 공격 패턴에 대한 완전한 가시성보다 예방에 유리합니다.
상기 설명한 규칙 그룹에는 영구 속도 기반 규칙 외에도 Shield Advanced가 현재 DDoS 공격을 완화하는 데 사용 중인 모든 규칙이 포함됩니다. Shield Advanced는 필요에 따라 이러한 규칙을 추가, 수정 및 제거합니다. 자세한 내용은 [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md) 단원을 참조하세요.
**Metrics**
규칙 그룹은 AWS WAF 지표를 생성하지만이 규칙 그룹은 Shield Advanced의 소유이므로 이러한 지표를 볼 수 없습니다. 자세한 내용은 [AWS WAF 지표 및 차원](waf-metrics.md) 단원을 참조하십시오.
# 리소스에 대한 자동 애플리케이션 계층 DDoS 완화 구성 보기
**보호된 리소스** 페이지 및 개별 보호 페이지에서 리소스에 대한 자동 애플리케이션 계층 DDoS 완화 구성을 볼 수 있습니다.
**자동 애플리케이션 계층 DDoS 완화 구성을 보려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다. 보호된 리소스 목록에서 **자동 애플리케이션 계층 DDoS 완화** 열에는 자동 완화 기능이 활성화되어 있는지 여부와 Shield Advanced가 완화 기능에 사용할 조치가 표시됩니다.
애플리케이션 계층 리소스를 선택하여 해당 리소스의 보호 페이지에 열거된 것과 동일한 정보를 볼 수도 있습니다.
# 자동 애플리케이션 계층 DDoS 완화 활성화 및 비활성화
다음 절차에서는 보호된 리소스에 대한 자동 대응을 활성화 또는 비활성화하는 방법을 보여 줍니다.
**단일 리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화 또는 비활성화하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호** 탭에서 자동 완화를 활성화하려는 애플리케이션 계층 리소스를 선택합니다. 해당 리소스에 대한 보호 페이지가 열립니다.
1. 리소스의 보호 페이지에서 **편집**을 선택합니다.
1. **글로벌 리소스에 대한 계층 7 DDoS 완화 구성 - *선택 사항*** 페이지에서 **자동 애플리케이션 계층 DDoS 완화**에 대해 자동 완화에 사용할 옵션을 선택합니다. 콘솔의 옵션은 다음과 같습니다:
+ **현재 설정 유지** - 보호된 리소스의 자동 완화 설정을 변경하지 않습니다.
+ **활성화** - 보호된 리소스에 대한 자동 완화를 활성화합니다. 이 옵션을 선택하는 경우, 웹 ACL 규칙에서 자동 완화 기능을 사용할 규칙 작업도 선택하십시오. 규칙 작업 설정에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 섹션을 참조하세요.
보호된 리소스에 아직 정상적인 애플리케이션 트래픽 기록이 없는 경우 Shield Advanced가 기준을 설정할 수 있을 때까지 Count 모드에서 자동 완화를 활성화합니다. Shield Advanced는 웹 ACL을 보호된 리소스와 연결할 때 기준 정보를 수집하기 시작하며, 정상 트래픽의 양호한 기준을 설정하는 데 24시간에서 30일까지 걸릴 수 있습니다.
+ **비활성화** - 보호된 리소스에 대한 자동 완화를 비활성화합니다.
1. 구성을 완료하고 저장할 때까지 나머지 페이지를 계속 살펴보세요.
**보호** 페이지에서 리소스에 대한 자동 완화 설정이 업데이트됩니다.
# 자동 애플리케이션 계층 DDoS 완화에 사용되는 조치 변경
콘솔의 여러 위치에서 Shield Advanced가 애플리케이션 계층 자동 대응에 사용하는 작업을 변경할 수 있습니다.
+ **자동 완화 구성** - 리소스에 대한 자동 완화를 구성할 때 조치를 변경하세요. 절차에 대해서는 이전 [자동 애플리케이션 계층 DDoS 완화 활성화 및 비활성화](enable-disable-automatic-app-layer-response.md) 섹션을 참조하세요.
+ **이벤트 세부 정보 페이지** - 콘솔에서 이벤트 정보를 볼 때 이벤트 세부 정보 페이지에서 작업을 변경하십시오. 자세한 설명은 [AWS Shield Advanced 이벤트 세부 정보 보기](ddos-event-details.md)을 참조하세요.
웹 ACL을 공유하는 두 개의 보호된 리소스가 있고 둘 중 하나에 대해서는 Count(으)로 작업을 설정하고 다른 하나에 대해서는 Block(으)로 설정한 경우 Shield Advanced는 규칙 그룹의 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`에 대한 작업을 Block(으)로 설정합니다.
# 자동 애플리케이션 계층 DDoS 완화와 AWS CloudFormation 함께 사용
이 페이지에서는를 CloudFormation 사용하여 보호 및 AWS WAF 웹 ACLs을 관리하는 방법을 설명합니다.
**자동 애플리케이션 계층 DDoS 완화 활성화 또는 비활성화**
`AWS::Shield::Protection` 리소스를 AWS CloudFormation사용하여를 통해 자동 애플리케이션 계층 DDoS 완화를 활성화 및 비활성화할 수 있습니다. 콘솔이나 다른 인터페이스를 통해 기능을 활성화하거나 비활성화할 때와 같은 효과가 나타납니다. CloudFormation 리소스에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)을 참조하세요.
**자동 완화 기능과 함께 사용되는 웹 ACL 관리**
Shield Advanced는 보호된 리소스의 AWS WAF 웹 ACL에서 규칙 그룹 규칙을 사용하여 보호된 리소스에 대한 자동 완화를 관리합니다. AWS WAF 콘솔 및 APIs를 통해 웹 ACL 규칙에 이름이 로 시작하는 규칙이 나열됩니다`ShieldMitigationRuleGroup`. 이 규칙은 자동 애플리케이션 계층 DDoS 완화 전용이며 Shield Advanced 및 AWS WAF에서 관리합니다. 자세한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 및 [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md) 섹션을 참조하세요.
CloudFormation 를 사용하여 웹 ACLs 관리하는 경우 Shield Advanced 규칙 그룹 규칙을 웹 ACL 템플릿에 추가하지 마십시오. 자동 완화 보호와 함께 사용되는 웹 ACL을 업데이트하면가 웹 ACL에서 규칙 그룹 규칙을 AWS WAF 자동으로 관리합니다.
를 통해 관리하는 다른 웹 ACLs을 확인할 수 있습니다. CloudFormation
+ CloudFormation 는 Shield Advanced 규칙 그룹 규칙을 사용하는 웹 ACL의 실제 구성과 규칙 없이 웹 ACL 템플릿 간의 스택 드리프트 상태의 드리프트를 보고하지 않습니다. Shield Advanced 규칙은 드리프트 세부 정보의 리소스에 대한 실제 목록에 표시되지 않습니다.
콘솔 또는 API를 AWS WAF통해 AWS WAF 검색하는 웹 ACL 목록에서 Shield Advanced 규칙 그룹 규칙을 볼 수 있습니다. AWS WAF APIs
+ 스택에서 웹 ACL 템플릿을 수정하면 AWS WAF Shield Advanced는 업데이트된 웹 ACL에서 Shield Advanced 자동 완화 규칙을 자동으로 유지합니다. Shield Advanced에서 제공하는 자동 완화 보호 기능은 웹 ACL을 업데이트해도 중단되지 않습니다.
CloudFormation 웹 ACL 템플릿에서 Shield Advanced 규칙을 관리하지 마십시오. 웹 ACL 템플릿에는 Shield Advanced 규칙이 열거되어서는 안 됩니다. [자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례](ddos-automatic-app-layer-response-bp.md) 에서 웹 ACL 관리 모범 사례를 따르십시오.
# Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지
상태 기반 탐지를 사용하도록 Shield Advanced를 구성하여 공격 탐지 및 완화의 응답성과 정확성을 개선할 수 있습니다. Route 53 호스팅 영역을 제외한 모든 리소스 타입에서 이 옵션을 사용할 수 있습니다.
상태 기반 탐지를 구성하려면 Route 53에서 리소스의 상태 확인을 정의하고 정상으로 보고되는지 확인한 다음 Shield Advanced 보호와 연결합니다. Route 53 상태 확인에 대한 자세한 내용은 [Amazon Route 53이 리소스 상태를 확인하는 방법](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html) 및 Amazon Route 53 개발자 안내서의 [상태 확인 생성, 업데이트 및 삭제](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html) 섹션을 참조하세요.
**참고**
Shield 대응팀(SRT)의 전향적 연계 지원을 위해서는 상태 확인이 필요합니다. 전향적 연계에 대한 자세한 설명은 [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md)을 참조하세요.
상태 확인은 사용자가 정의한 요구 사항을 기반으로 리소스의 상태를 측정합니다. 상태 확인 상태는 Shield Advanced 감지 메커니즘에 대한 중요한 입력을 제공하여 특정 애플리케이션의 현재 상태에 대한 민감도를 높입니다.
Route 53 호스팅 영역을 제외한 모든 리소스 유형에 대해 상태 기반 탐지를 활성화할 수 있습니다.
+ **네트워크 및 전송 계층(계층 3/계층 4) 리소스** – 상태 기반 탐지는 Network Load Balancer, 탄력적 IP 주소, Global Accelerator 표준 액셀러레이터에 대한 네트워크 계층 및 전송 계층 이벤트 탐지 및 완화의 정확도를 개선합니다. Shield Advanced로 이러한 리소스 유형을 보호하면 Shield Advanced는 트래픽이 애플리케이션 용량 내에 있는 경우에도 소규모 공격에 대한 완화 기능과 더 빠른 공격 완화를 제공할 수 있습니다.
관련 상태 확인이 비정상인 기간 동안 상태 기반 탐지를 추가하면 Shield Advanced는 훨씬 더 빠르게 더 낮은 임계값으로 위험을 완화할 수 있습니다.
+ **애플리케이션 계층(계층 7) 리소스** – 상태 기반 탐지는 CloudFront 배포 및 Application Load Balancer에 대한 웹 요청 flood 탐지의 정확도를 개선합니다. Shield Advanced로 이러한 리소스 유형을 보호하면 요청 특성에 따른 트래픽 패턴의 현저한 변화와 함께 트래픽 양에 통계적으로 유의한 편차가 있을 때 웹 요청 flood 감지 알림을 받게 됩니다.
상태 기반 탐지를 사용하면 연결된 Route 53 상태 확인이 비정상인 기간 동안 Shield Advanced에서 경고에 대한 편차가 더 적어야 하며 이벤트를 더 빠르게 보고합니다. 연결된 Route 53 상태 확인이 정상인 경우 Shield Advanced에서는 경고에 대해 더 큰 편차가 필요합니다.
애플리케이션이 허용 가능한 파라미터 내에서 실행될 때만 상태 확인이 정상이라고 보고하고, 그렇지 않을 때는 비정상이라고 보고하는 경우 Shield Advanced의 상태 확인을 사용하면 가장 큰 이점을 얻을 수 있습니다. 이 섹션의 지침을 사용하여 Shield Advanced에서 상태 확인 연결을 관리합니다.
**참고**
Shield Advanced는 상태 확인을 자동으로 관리하지 않습니다.
Shield Advanced에서 상태 확인을 사용하려면 다음이 필요합니다.
+ 상태 확인을 Shield Advanced 보호와 연결하면 정상 상태로 보고되어야 합니다.
+ 상태 확인은 보호 대상 리소스의 상태와 관련이 있어야 합니다. 애플리케이션의 특정 요구 사항에 따라 애플리케이션 상태를 정확하게 보고하는 상태 확인을 정의하고 유지 관리할 책임이 있습니다.
+ 상태 확인은 Shield Advanced 보호 기능을 통해 계속 사용할 수 있어야 합니다. Shield Advanced 보호를 위해 사용 중인 Route 53의 상태 확인을 삭제하지 마십시오.
**Contents**
+ [Shield Advanced의 상태 확인 사용 모범 사례](health-checks-best-practices.md)
+ [Shield Advanced의 상태 확인에 공통적으로 사용하는 CloudWatch 지표](health-checks-metrics.md)
+ [애플리케이션 상태 모니터링에 사용하는 지표](health-checks-metrics.md#health-checks-metrics-common)
+ [각 리소스 유형에 대한 Amazon CloudWatch 지표](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [상태 확인과 Shield Advanced로 보호하는 리소스를 연결](associate-health-check.md)
+ [상태 확인을 Shield Advanced로 보호하는 리소스로부터 연결 해제](disassociate-health-check.md)
+ [Shield Advanced에서 상태 확인 연결 상태 보기](health-check-association-status.md)
+ [Shield Advanced의 상태 확인 예제](health-checks-examples.md)
+ [Amazon CloudFront 배포](health-checks-examples.md#health-checks-example-cloudfront)
+ [로드 밸런서](health-checks-examples.md#health-checks-example-load-balancer)
+ [Amazon EC2 탄력적 IP 주소(EIP)](health-checks-examples.md#health-checks-example-elastic-ip)
# Shield Advanced의 상태 확인 사용 모범 사례
Shield Advanced를 사용하여 상태 확인을 생성하고 사용할 때는 이 섹션의 모범 사례를 따르십시오.
+ 모니터링하려는 인프라 구성 요소를 식별하여 상태 확인을 계획하십시오. 상태 확인을 위해 다음과 같은 리소스 유형을 고려해 보십시오.
+ 중요 리소스
+ Shield Advanced 탐지 및 완화에서 더 높은 민감도를 원하는 모든 리소스.
+ Shield Advanced가 사전에 연락하기를 원하는 리소스. 상태 확인은 상태 확인 상태를 기반으로 선제적 대응에 반영됩니다.
모니터링할 수 있는 리소스의 예로는 Amazon CloudFront 배포, 인터넷 연결 로드 밸런서, Amazon EC2 인스턴스 등이 있습니다.
+ 알림을 최대한 적게 하고 애플리케이션 오리진의 상태를 정확하게 반영하는 상태 확인을 정의하십시오.
+ 애플리케이션을 사용할 수 없거나 허용 가능한 파라미터 내에서 작동하지 않는 경우에만 상태가 좋지 않다고 표시하도록 상태 확인을 작성하십시오. 애플리케이션의 특정 요구 사항에 따라 상태 확인을 정의하고 유지 관리할 책임은 귀하에게 있습니다.
+ 애플리케이션 상태를 정확하게 보고하면서 상태 확인을 최대한 적게 사용하십시오. 예를 들어 애플리케이션의 여러 영역에서 발생하여 모두 동일한 문제를 보고하는 경보가 여러 개 있으면 정보 가치를 추가하지 않고도 대응 활동에 오버헤드가 가중될 수 있습니다.
+ 계산된 상태 확인을 사용하면 Amazon CloudWatch 지표의 조합을 사용하여 애플리케이션 상태를 모니터링할 수 있습니다. 예를 들어 애플리케이션 서버의 지연 시간과 5xx 오류율을 기반으로 종합 상태를 계산할 수 있습니다. 이는 오리진 서버가 요청을 이행하지 않았음을 나타냅니다.
+ 필요에 따라 자체 애플리케이션 상태 지표를 생성하여 CloudWatch 사용자 지정 지표를 게시하고 이를 계산된 상태 확인에 사용하십시오.
+ 상태 확인을 구현하고 관리하여 탐지를 개선하고 불필요한 유지 관리 활동을 줄이십시오.
+ 상태 확인을 Shield Advanced 보호와 연결하기 전에 상태가 정상인지 확인하십시오. 비정상으로 보고된 상태 확인을 연결하면 보호 대상 리소스에 대한 Shield Advanced 탐지 메커니즘이 왜곡될 수 있습니다.
+ Shield Advanced에서 건강 검진을 계속 사용할 수 있도록 하십시오. Shield Advanced 보호를 위해 사용 중인 Route 53의 상태 확인을 삭제하지 마십시오.
+ 스테이징 및 테스트 환경은 상태 확인을 테스트하는 용도로만 사용하십시오. 프로덕션 수준의 성능과 가용성이 필요한 환경에 대해서만 상태 확인 연결을 유지하십시오. 스테이징 및 테스트 환경을 위해 Shield Advanced에서 상태 확인 연결을 유지하지 마십시오.
# Shield Advanced의 상태 확인에 공통적으로 사용하는 CloudWatch 지표
이 섹션에는 분산 서비스 거부(DDoS) 이벤트 중에 애플리케이션 상태를 측정하기 위해 상태 확인에 일반적으로 사용되는 Amazon CloudWatch 지표가 나열되어 있습니다. 각 리소스 유형의 CloudWatch 지표에 대한 자세한 내용은 표 다음에 이어지는 목록을 참조하세요.
**Topics**
+ [애플리케이션 상태 모니터링에 사용하는 지표](#health-checks-metrics-common)
+ [각 리소스 유형에 대한 Amazon CloudWatch 지표](#health-checks-protected-resource-metrics)
## 애플리케이션 상태 모니터링에 사용하는 지표
| Resource | 지표 | 설명 |
| --- | --- | --- |
| Route 53 | `HealthCheckStatus` | 상태 확인 엔드포인트의 상태입니다. |
| CloudFront | `5xxErrorRate` | HTTP 상태 코드가 5xx인 모든 요청의 백분율입니다. 이는 애플리케이션에 영향을 미치는 공격을 나타냅니다. |
| Application Load Balancer | `HTTPCode_ELB_5XX_Count` | 로드 밸런서에서 생성된 HTTP 5xx 클라이언트 오류 코드 수입니다. |
| Application Load Balancer | `RejectedConnectionCount` | 로드 밸런서가 최대 연결 수에 도달하여 거부된 연결 수. |
| Application Load Balancer | `TargetConnectionErrorCount` | 로드 밸런서와 대상 사이에 성공적으로 구성되지 않은 연결 수. |
| Application Load Balancer | `TargetResponseTime` | 로드 밸런서에서 요청 신호를 전송한 후 대상에서 응답 신호가 수신될 때까지 경과된 시간(초). |
| Application Load Balancer | `UnHealthyHostCount` | 비정상 상태로 간주되는 대상 수. |
| Amazon EC2 | `CPUUtilization` | 현재 사용 중인 할당된 EC2 컴퓨팅 유닛(ECU)의 비율(%). |
## 각 리소스 유형에 대한 Amazon CloudWatch 지표
보호 대상 리소스에 사용할 수 있는 지표에 대한 추가 정보는 리소스 가이드의 다음 섹션을 참조하세요.
+ Amazon Route 53 – Amazon Route 53 개발자 안내서의 [상태 확인 및 Amazon CloudWatch를 사용하여 리소스 모니터링](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html)
+ Amazon CloudFront – Amazon CloudFront 개발자 안내서의 [Amazon CloudWatch를 사용하여 CloudFront 모니터링](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html)
+ Application Load Balancer – Application Load Balancer 사용 설명서의 [Application Load Balancer에 대한 CloudWatch 지표](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)
+ Network Load Balancer – Network Load Balancer 사용 설명서의 [Network Load Balancer에 대한 CloudWatch 지표](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)
+ AWS Global Accelerator - AWS Global Accelerator 개발자 안내서의 [에서 Amazon CloudWatch 사용 AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html).
+ Amazon Elastic Compute Cloud – https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/의 [인스턴스에 사용할 수 있는 CloudWatch 지표 나열하기](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html).
+ Amazon EC2 Auto Scaling – Amazon EC2 Auto Scaling 사용 설명서의 [Auto Scaling 그룹 및 인스턴스에 대한 CloudWatch 지표 모니터링](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)
# 상태 확인과 Shield Advanced로 보호하는 리소스를 연결
다음 절차에서는 Amazon Route 53 상태 확인을 보호된 리소스와 연결하는 방법을 보여줍니다.
**참고**
상태 확인을 Shield Advanced 보호와 연결하기 전에 상태가 정상인지 확인하십시오. 자세한 내용은 Amazon Route 53 개발자 안내서의 [상태 확인 상태 모니터링 및 알림 받기](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html) 섹션을 참조하세요.
**상태 확인**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호** 탭에서 상태 확인과 연결할 리소스를 선택합니다.
1. **보호 구성**을 선택합니다.
1. **상태 확인 기반 DDoS 탐지 구성 - *선택 사항*** 페이지가 표시될 때까지 **다음**을 선택합니다.
1. **연계된 상태 체크**에서 보호와 연계하려는 상태 체크의 ID를 선택합니다.
**참고**
필요한 상태 체크가 보이지 않으면 Route 53 콘솔로 이동하여 상태 체크와 해당 ID를 확인하십시오. 자세한 내용은 [상태 확인 생성 및 업데이트](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) 섹션을 참조하세요.
1. 구성을 완료할 때까지 나머지 페이지를 살펴보십시오. **보호** 페이지에는 리소스에 대한 업데이트된 상태 확인 연결이 나열되어 있습니다.
1. **보호** 페이지에서 새로 연결된 상태 확인이 정상으로 보고되고 있는지 확인합니다.
상태 확인이 비정상으로 보고되는 동안에는 Shield Advanced의 상태 확인 사용을 성공적으로 시작할 수 없습니다. 이렇게 하면 Shield Advanced가 매우 낮은 임계값에서 오탐지를 감지하고 Shield 대응 팀(SRT)이 리소스에 대한 선제적 대응을 제공하는 능력에도 부정적인 영향을 미칠 수 있습니다.
새로 연결된 상태 확인이 비정상으로 보고되면 다음과 같이 하십시오.
1. Shield Advanced의 상태 확인과 보호 기능을 분리하십시오.
1. Amazon Route 53의 상태 확인 사양을 다시 살펴보고 전반적인 애플리케이션 성능 및 가용성을 확인하십시오.
1. 애플리케이션이 정상 상태 파라미터 내에서 수행되고 상태 확인이 정상으로 보고되면 Shield Advanced에서 상태 확인을 다시 연결해 보십시오.
새 상태 확인 연결을 설정하고 Shield Advanced에서 정상 상태를 보고하면 상태 확인 연결 절차가 완료됩니다.
# 상태 확인을 Shield Advanced로 보호하는 리소스로부터 연결 해제
다음 절차는 Amazon Route 53 상태 확인과 보호된 리소스의 연결을 해제하는 방법을 보여줍니다.
**상태 확인 연결을 해제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호** 탭에서 상태 확인에서 연결을 해제할 리소스를 선택합니다.
1. **보호 구성**을 선택합니다.
1. **상태 확인 기반 DDoS 탐지 구성 - *선택 사항*** 페이지가 표시될 때까지 **다음**을 선택합니다.
1. **연결된 상태 확인**에서 **-**로 표시된 빈 옵션을 선택합니다.
1. 구성을 완료할 때까지 나머지 페이지를 살펴보십시오.
**보호** 페이지에서 리소스의 상태 확인 필드는 **-**로 설정되어 있으며, 이는 상태 확인 연결이 없음을 나타냅니다.
# Shield Advanced에서 상태 확인 연결 상태 보기
AWS WAF 및 Shield 콘솔 **보호 리소스** 페이지 및 각 리소스의 세부 정보 페이지에서 보호와 관련된 상태 확인 상태를 확인할 수 있습니다.
+ **정상** – 상태 확인을 사용할 수 있으며 정상으로 보고됩니다.
+ **비정상** – 상태 확인을 사용할 수 있으며 비정상으로 보고됩니다.
+ **사용 불가** – Shield Advanced에서 상태 확인을 사용할 수 없습니다 .
****사용 불가** 상태 확인 문제를 해결하려면**
새 상태 확인을 생성하여 사용하십시오. Shield Advanced에서 상태 확인을 사용할 수 없는 상태가 된 후에는 다시 연결을 시도하지 마십시오.
이러한 단계를 수행하는 방법에 대한 자세한 지침은 이전 항목을 참조하세요.
1. Shield Advanced에서, 리소스에서 상태 확인의 연결을 해제합니다.
1. Route 53에서, 리소스에 대한 새 상태 확인을 생성하고 해당 ID를 기록해 둡니다. 자세한 내용은 Amazon Route 53 개발자 안내서의 [상태 확인 생성 및 업데이트](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) 섹션을 참조하세요.
1. Shield Advanced에서, 새 상태 확인을 리소스에 연결합니다.
# Shield Advanced의 상태 확인 예제
이 섹션에서는 계산된 상태 확인에 사용할 수 있는 상태 확인의 예시를 보여줍니다. 계산된 상태 확인은 여러 개별 상태 확인을 사용하여 통합 상태를 결정합니다. 각 개별 상태 확인의 상태는 엔드포인트의 상태 또는 Amazon CloudWatch 지표의 상태를 기반으로 합니다. 상태 확인을 계산된 상태 확인으로 결합한 다음 개별 상태 확인의 통합 상태를 기반으로 상태를 보고하도록 계산된 상태 확인을 구성합니다. 애플리케이션 성능 및 가용성에 대한 요구 사항에 따라 계산된 상태 확인의 민감도를 조정하십시오.
계산된 상태 확인에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 [기타 상태 확인(계산된 상태 확인) 모니터링](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated) 섹션을 참조하세요. 자세한 내용은 블로그 게시물 [Route 53 개선 사항 – 계산된 상태 확인 및 지연 시간 검사](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/) 섹션을 참조하세요.
**Topics**
+ [Amazon CloudFront 배포](#health-checks-example-cloudfront)
+ [로드 밸런서](#health-checks-example-load-balancer)
+ [Amazon EC2 탄력적 IP 주소(EIP)](#health-checks-example-elastic-ip)
## Amazon CloudFront 배포
다음 예시는 CloudFront 배포의 계산된 상태 확인으로 결합할 수 있는 상태 확인을 설명합니다.
+ 동적 콘텐츠를 제공하는 배포의 경로에 도메인 이름을 지정하여 엔드포인트를 모니터링합니다. 정상 응답에는 HTTP 응답 코드 2xx 및 3xx가 포함됩니다.
+ CloudFront 오리진의 상태를 측정하는 CloudWatch 경보의 상태를 모니터링합니다. 예를 들어, Application Load Balancer `TargetResponseTime` 지표에서 CloudWatch 경보를 유지 관리하고 경보 상태를 반영하는 상태 확인을 생성할 수 있습니다. 요청이 로드 밸런서에서 나가는 시점부터 로드 밸런서가 대상으로부터 응답을 받을 때까지의 응답 시간이 경보에 구성된 임계값을 초과할 경우, 상태 확인이 비정상적일 수 있습니다.
+ 응답의 HTTP 상태 코드가 5xx 인 요청의 백분율을 측정하는 CloudWatch 경보의 상태를 모니터링합니다. CloudFront 배포의 5xx 오류율이 CloudWatch 경보에 정의된 임계값보다 높으면 이 상태 확인의 상태가 비정상으로 전환됩니다.
## 로드 밸런서
다음 예시에서는 Application Load Balancer, Network Load Balancer 또는 Global Accelerator 표준 액셀러레이터의 계산된 상태 확인에 사용할 수 있는 상태 확인에 사용할 수 있는 상태 확인에 대해 설명합니다.
+ 클라이언트가 로드 밸런서에 설정한 새 연결 수를 측정하는 CloudWatch 경보의 상태를 모니터링합니다. 평균 신규 연결 수에 대한 경보 임계값을 일일 평균보다 어느 정도 높게 설정할 수 있습니다. 각 리소스 유형의 지표는 다음과 같습니다.
+ Application Load Balancer: `NewConnectionCount`
+ Network Load Balancer: `ActiveFlowCount`
+ Global Accelerator: `NewFlowCount`
+ Application Load Balancer 및 Network Load Balancer의 경우 정상으로 간주되는 로드 밸런서의 수를 측정하는 CloudWatch 경보의 상태를 모니터링하십시오. 가용 영역 또는 로드 밸런서에 필요한 정상 호스트의 최소 수에 대해 경보 임계값을 설정할 수 있습니다. 로드 밸런서 리소스에 사용할 수 있는 지표는 다음과 같습니다.
+ Application Load Balancer: `HealthyHostCount`
+ Network Load Balancer: `HealthyHostCount`
+ Application Load Balancer의 경우 로드 밸런서 대상에서 생성된 HTTP 5xx 응답 코드의 수를 측정하는 CloudWatch 경보의 상태를 모니터링하십시오. Application Load Balancer의 경우 지표 `HTTPCode_Target_5XX_Count`을(를) 사용하고 로드 밸런서에 대한 모든 5xx 오류의 합계를 기준으로 경보 임계값을 설정할 수 있습니다.
## Amazon EC2 탄력적 IP 주소(EIP)
다음 예시의 상태 확인을 Amazon EC2 탄력적 IP 주소의 계산된 상태 확인에 결합할 수 있습니다.
+ 탄력적 IP 주소에 IP 주소를 지정하여 엔드포인트를 모니터링합니다. IP 주소를 기반으로 하는 리소스와 TCP 연결을 설정할 수 있는 한 상태 확인은 정상적으로 유지됩니다.
+ 인스턴스에서 현재 사용 중인 할당된 Amazon EC2 컴퓨팅 유닛의 비율을 측정하는 CloudWatch 경보의 상태를 모니터링합니다. Amazon EC2 지표 `CPUUtilization`을(를) 사용하고 애플리케이션의 CPU 사용률이 높다고 생각하는 비율(예: 90%)을 기준으로 경보 임계값을 설정할 수 있습니다.
# AWS 리소스에 AWS Shield Advanced 보호 추가
이 섹션의 지침에 따라 하나 이상의 리소스에 Shield Advanced 보호를 추가하십시오.
**AWS 리소스에 대한 보호를 추가하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. 탐색 창의 아래에서 **보호된 리소스를** AWS Shield 선택합니다.
1. **보호할 리소스 추가**를 선택합니다.
1. **Shield Advanced로 보호할 리소스 선택** 페이지의 **지역 및 리소스 타입 지정**에서 보호하려는 리소스에 대해 지역 및 리소스 타입 사양을 제공합니다. **모든 지역**을 선택하여 여러 지역의 리소스를 보호할 수 있으며, **글로벌**을 선택하여 글로벌 리소스로 선택 범위를 좁힐 수 있습니다. 보호하지 않으려는 모든 리소스 타입을 선택 취소할 수 있습니다. 리소스 타입의 보호에 대한 자세한 설명은 [가 AWS Shield Advanced 보호하는 리소스 목록](ddos-protections-by-resource-type.md)을 참조하세요.
1. **리소스 로딩**을 선택합니다. Shield Advanced는 **리소스 선택** 섹션을 기준에 맞는 AWS 리소스로 채웁니다.
1. **리소스 선택** 섹션에서, 리소스 목록에서 검색할 문자열을 입력하여 리소스 목록을 필터링할 수 있습니다.
보호할 리소스를 선택합니다.
1. **태그** 섹션에서 생성 중인 Shield Advanced 보호에 태그를 추가하려면 해당 태그를 지정하세요. AWS 리소스 태그 지정에 대한 자세한 설명은 [태그 편집기 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
1. **Shield Advanced로 보호하기**를 선택하세요. 이렇게 하면 리소스에 Shield Advanced 보호 기능이 추가됩니다.
# AWS Shield Advanced 보호 편집
언제든지 AWS Shield Advanced 보호 설정을 변경할 수 있습니다. 이렇게 하려면 선택된 보호 옵션을 살펴본 후 변경해야 하는 설정을 수정합니다.
**보호된 리소스를 관리하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호** 탭에서 보호할 리소스를 선택합니다.
1. **보호 구성** 및 원하는 리소스 사양 옵션을 선택합니다.
1. 각 리소스 보호 옵션을 살펴보면서 필요에 따라 변경하십시오.
## 애플리케이션 계층 DDoS 보호 구성
Amazon CloudFront 및 Application Load Balancer 리소스에 대한 공격으로부터 보호하기 위해 AWS WAF 웹 ACLs 추가하고 속도 기반 규칙을 추가할 수 있습니다. 이에 대한 자세한 내용은 [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md) 섹션을 참조하세요.
또한 Shield Advanced에 자동 애플리케이션 계층 DDoS 완화를 활성화할 수 있습니다. AWS WAF 작동 방식에 대한 자세한 내용은 단원을 참조하십시오[AWS WAF](waf-chapter.md). 자동 완화 기능에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.
**중요**
Shield Advanced 정책을 AWS Firewall Manager 사용하여를 통해 Shield Advanced 보호를 관리하는 경우 여기에서 애플리케이션 계층 보호를 관리할 수 없습니다. 모든 다른 자원의 경우, 웹 ACL에 규칙이 포함되어 있지 않더라도 각 리소스에 웹 ACL을 적어도 하나 연결하는 것이 좋습니다.
**참고**
리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화하면 필요한 경우 작업이 계정에 서비스 연결 역할을 자동으로 추가하여 Shield Advanced에 웹 ACL 보호를 관리하는 데 필요한 권한을 부여합니다. 자세한 내용은 [Shield Advanced에 대한 서비스 연결 역할 사용](shd-using-service-linked-roles.md)을 참조하세요.
**애플리케이션 계층 DDoS 보호를 구성하려면**
1. **계층 7 DDoS 보호 구성** 페이지에서 리소스가 아직 웹 ACL과 연결되어 있지 않은 경우 기존 웹 ACL을 선택하거나 직접 만들 수 있습니다.
웹 ACL을 생성하려면 아래 단계를 따르십시오.
1. **Create web ACL(웹 ACL 생성)**을 선택합니다.
1. 명칭을 입력합니다. 웹 ACL을 생성한 후에는 명칭을 변경할 수 없습니다.
1. **생성(Create)**을 선택합니다.
**참고**
리소스가 이미 웹 ACL과 연결되어 있으면 다른 웹 ACL로 변경할 수 없습니다. 웹 ACL을 변경하려면 먼저 연결된 웹 ACL을 리소스에서 제거해야 합니다. 자세한 내용은 [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md)을 참조하세요.
1. 웹 ACL에 속도 기반 규칙이 정의되어 있지 않은 경우 **속도 제한 규칙 추가**를 선택하고 다음 단계를 수행하여 속도 기반 규칙을 추가할 수 있습니다.
1. 명칭을 입력합니다.
1. 비율 제한을 입력합니다. 이 값은 속도 기반 규칙 작업이 IP 주소에 적용되기 전, 단일 IP 주소에서 5분 동안 허용되는 최대 요청 수를 말합니다. IP 주소의 요청이 한도 아래로 떨어지면 작업이 중단됩니다.
1. 요청 수가 제한을 초과하는 동안 IP 주소의 요청을 계산하거나 차단하도록 규칙 작업을 설정합니다. 규칙 적용 및 제거 조치는 IP 주소 요청 비율이 변경된 후 1\$12분 후에 적용될 수 있습니다.
1. **규칙 추가**를 선택합니다.
1. **자동 애플리케이션 계층 DDoS 완화**에 대해 다음과 같이 Shield Advanced가 사용자 대신 DDoS 공격을 자동으로 완화하도록 할지 여부를 선택합니다.
+ 자동 완화를 활성화하려면 **활성화**를 선택한 다음 Shield Advanced가 사용자 지정 AWS WAF 규칙에 사용할 규칙 작업을 선택합니다. 선택할 수 있는 옵션은 Count 및 Block입니다. 이러한 AWS WAF 규칙 작업에 대한 자세한 내용은 섹션을 참조하세요[에서 규칙 작업 사용 AWS WAF](waf-rule-action.md). Shield Advanced가 이 작업 설정을 관리하는 방법에 대한 자세한 내용은 [Shield Advanced가 규칙 작업 설정을 관리하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)을(를) 참조하세요.
+ 자동 완화 기능을 비활성화하려면 **비활성화**를 선택합니다.
+ 관리 중인 리소스의 자동 완화 설정을 변경하지 않고 그대로 두려면 기본 선택인 **현재 설정 유지**를 그대로 두십시오.
Shield Advanced 자동 애플리케이션 계층 DDoS 완화에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.
1. **다음**을 선택합니다.
# Shield Advanced로 보호하는 리소스에 대해 경보 및 알림 생성
다음 절차에서는 보호된 리소스에 대한 CloudWatch 경보를 관리하는 방법을 보여줍니다.
**참고**
CloudWatch에는 추가 비용이 발생합니다. CloudWatch 요금에 대한 자세한 내용은 [Amazon CloudWatch 요금](https://aws.amazon.com/cloudwatch/pricing/)을 참조하세요.
**경보 및 알림을 생성하려면**
1. ** 경보 및 알림 생성 - *선택 사항*** 보호 페이지에서 수신할 경보 및 알림에 대한 SNS 주제를 구성합니다. 알림을 받지 않으려는 리소스의 경우 **주제 없음**을 선택합니다. Amazon SNS 주제를 추가하거나 새로운 주제를 생성할 수 있습니다.
1. Amazon SNS 주제를 생성하려면 아래 단계를 따르십시오.
1. 드롭다운 목록에서 **SNS 주제 생성**을 선택합니다.
1. 주제 이름을 입력합니다.
1. 선택 사항으로 Amazon SNS 메시지를 수신할 이메일 주소를 입력한 후 **이메일 추가**를 선택합니다. 하나 이상을 입력할 수 있습니다.
1. **생성**을 선택합니다.
1. **다음**을 선택합니다.
# AWS 리소스에서 AWS Shield Advanced 보호 제거
언제든지 AWS 리소스에서 AWS Shield Advanced 보호를 제거할 수 있습니다.
**중요**
AWS 리소스를 삭제해도 리소스가 제거되지는 않습니다 AWS Shield Advanced. 또한이 절차에 설명된 AWS Shield Advanced대로에서 리소스에 대한 보호를 제거해야 합니다.
**AWS 리소스에서 AWS Shield Advanced 보호 제거**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호** 탭에서 보호를 제거하려는 리소스를 선택합니다.
1. **삭제 보호**를 선택합니다.
1. 이 보호에 Amazon CloudWatch 경보를 구성한 경우 보호와 함께 경보를 삭제할 수 있는 옵션이 제공됩니다. 이때 경보를 삭제하지 않더라도 나중에 CloudWatch 콘솔에서 삭제할 수 있습니다.
**참고**
Amazon Route 53 상태 확인이 구성된 보호의 경우 나중에 보호를 다시 추가하면 보호에 상태 확인이 포함됩니다.
이전 단계에서는 특정 AWS 리소스에서 AWS Shield Advanced 보호를 제거합니다. 구독은 취소되지 않습니다 AWS Shield Advanced . 서비스 요금은 계속 청구됩니다. AWS Shield Advanced 구독에 대한 자세한 내용은 [AWS Support 센터에](https://console.aws.amazon.com/support/home#/) 문의하세요.
## Shield Advanced 보호에서 CloudWatch 경보 제거
Shield Advanced 보호에서 CloudWatch 경보를 제거하려면 다음 중 하나를 수행합니다.
+ [AWS 리소스에서 AWS Shield Advanced 보호 제거](#remove-protection)에서 설명하는 대로 보호를 삭제합니다. 이때 **Also delete related DDoSDetection alarm(관련 DDoSDetection 경보도 삭제)** 옆에 있는 확인란을 반드시 선택해야 합니다.
+ CloudWatch 콘솔을 사용해 경보를 삭제합니다. 삭제할 경보의 이름은 **DDoSDetectedAlarmForProtection**로 시작합니다.
# AWS Shield Advanced 보호 그룹화
보호 그룹을 사용하면 보호된 리소스의 논리적 컬렉션을 만들고 보호를 그룹으로 관리할 수 있습니다. 리소스 보호 관리에 대한 자세한 정보는 [AWS Shield Advanced 보호 편집](manage-protection.md) 섹션을 참조하세요.
**참고**
자동 애플리케이션 계층 DDoS 완화는 보호 그룹과 상호 작용하지 않습니다. 보호 그룹에 있는 리소스에 대해 자동 완화를 활성화할 수 있지만 Shield Advanced는 보호 그룹 결과에 근거하여 공격 완화를 자동으로 적용하지 않습니다. Shield Advanced는 개별 리소스에 대한 자동 공격 완화 기능을 적용합니다.
AWS Shield Advanced 보호 그룹은 여러 보호된 리소스를 단일 단위로 처리하여 탐지 및 완화 범위를 사용자 지정할 수 있는 셀프 서비스 방법을 제공합니다. 리소스 그룹화는 여러 가지 이점을 제공할 수 있습니다.
+ 탐지 정확도를 개선하십시오.
+ 실행 불가능한 이벤트 알림을 줄이십시오.
+ 이벤트 중에 영향을 받을 수도 있는 보호 리소스를 포함하도록 완화 조치의 적용 범위를 늘리십시오.
+ 유사한 표적이 여러 개 있는 공격을 완화하는 데 걸리는 시간을 단축하십시오.
+ 새로 생성된 보호 리소스의 자동 보호를 촉진합니다.
보호 그룹은 리소스가 0에 가까운 부하와 완전히 로드된 상태 사이에서 번갈아 나타나는 블루/그린 스왑과 같은 상황에서 오탐지를 줄이는 데 도움이 될 수 있습니다. 또 다른 예로 그룹 구성원 간에 공유되는 부하 수준을 유지하면서 리소스를 자주 만들고 삭제하는 경우를 들 수 있습니다. 이러한 상황에서 개별 리소스를 모니터링하면 오탐지가 발생할 수 있지만 리소스 그룹의 상태를 모니터링하면 그렇지 않을 수 있습니다.
모든 보호된 리소스, 특정 리소스 유형의 모든 리소스 또는 개별적으로 지정된 리소스를 포함하도록 보호 그룹을 구성할 수 있습니다. 보호 그룹 기준을 충족하는 새로 보호된 리소스는 보호 그룹에 자동으로 포함됩니다. 보호된 리소스는 다중 보호 그룹에 속할 수 있습니다.
# Shield Advanced 보호 그룹 생성
**보호 그룹을 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호 그룹** 탭을 선택한 다음, **보호 그룹 만들기**를 선택합니다.
1. **보호 그룹 만들기** 페이지에서 그룹 이름을 입력합니다. 이 이름을 사용하여 보호된 리소스 목록에 있는 그룹을 식별할 수 있습니다. 보호 그룹을 생성한 후에는 해당 이름을 변경할 수 없습니다.
1. **보호 그룹화 기준**의 경우, Shield Advanced가 그룹에 포함할 보호된 리소스를 식별하는 데 사용할 기준을 선택합니다. 선택한 기준에 따라 추가 항목을 선택합니다.
1. **집계**의 경우, Shield Advanced가 그룹의 리소스 데이터를 결합하여 이벤트를 탐지, 완화 및 보고하는 방법을 선택합니다.
+ **합계** – 그룹 전체의 총 트래픽을 사용합니다. 대부분의 경우에서 이 방법을 선택하는 것이 좋습니다. 수동 또는 자동으로 확장되는 Amazon EC2 인스턴스의 탄력적 IP 주소를 예로 들 수 있습니다.
+ **평균** – 그룹 전체 트래픽의 평균을 사용합니다. 트래픽을 균일하게 공유하는 리소스에 적합합니다. 액셀러레이터와 로드 밸런서를 예로 들 수 있습니다.
+ **최대** – 각 리소스에서 가장 많은 트래픽을 사용합니다. 이는 트래픽을 공유하지 않는 리소스와 불균일한 방식으로 트래픽을 공유하는 리소스에 유용합니다. Amazon CloudFront 배포와 CloudFront 배포를 위한 오리진 리소스를 예로 들 수 있습니다.
1. **저장**을 선택하여 보호 그룹을 저장하고 **보호된 리소스** 페이지로 돌아가십시오.
**Shield** **이벤트** 페이지에서 보호 그룹에 대한 이벤트를 보고 그룹에 있는 보호 리소스에 대한 추가 정보를 드릴다운하여 볼 수 있습니다.
# Shield Advanced 보호 그룹 업데이트
**보호 그룹을 업데이트하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호 그룹** 탭에서 수정할 보호 그룹 옆의 확인란을 선택합니다.
1. 보호 그룹 페이지에서 **편집**을 선택합니다. 보호 그룹 설정을 변경합니다.
1. **저장**을 선택하여 변경 사항을 저장합니다.
# Shield Advanced 보호 그룹 삭제
**보호 그룹을 삭제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.
1. AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.
1. **보호 그룹** 탭에서 제거할 보호 그룹 옆의 확인란을 선택합니다.
1. 보호 그룹 페이지에서 **삭제**를 선택하고 작업을 확인합니다.
# 에서 Shield Advanced 리소스 보호 변경 사항 추적 AWS Config
이 페이지에서는를 사용하여 리소스 AWS Shield Advanced 보호에 대한 변경 사항을 기록하는 방법을 설명합니다 AWS Config. 그런 다음 감사 및 문제 해결을 목적으로 이 정보를 사용해 구성 변경 이력을 유지할 수 있습니다.
보호 변경 사항을 기록하려면 추적하려는 각 리소스에 AWS Config 대해를 활성화합니다. 자세한 내용은 *AWS Config 개발자 가이드*에서 [AWS Config시작하기](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)를 참조하세요.
추적된 리소스 AWS 리전 가 포함된 각 AWS Config 에 대해를 활성화해야 합니다. 를 AWS Config 수동으로 활성화하거나 *CloudFormation 사용 설명서*의 [CloudFormation StackSets 샘플](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) CloudFormation 템플릿에서 "활성화 AWS Config" 템플릿을 사용할 수 있습니다.
를 활성화하면 [AWS Config 요금](https://aws.amazon.com/config/pricing/) 페이지에 설명된 대로 요금이 청구 AWS Config됩니다.
**참고**
필요한 리전 및 리소스에 대해를 이미 AWS Config 활성화한 경우 리소스의 보호 변경 사항에 대한 anything. AWS Config logs를 수행할 필요가 없습니다.
활성화한 후 AWS Config 콘솔에서 미국 동부(버지니아 북부) 리전을 AWS Config사용하여 AWS Shield Advanced 글로벌 리소스에 대한 구성 변경 기록을 봅니다.
미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), 유럽(아일랜드), 유럽(프랑크푸르트), 아시아 태평양(도쿄) 및 아시아 태평양(시드니) 리전의 AWS Config 콘솔을 통해 AWS Shield Advanced 리전 리소스에 대한 변경 기록을 봅니다.