Application Load Balancer에 대한 리소스 수준 DDoS 보호 - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, 및 AWS Shield 네트워크 보안 디렉터
기존 webACL에서 표준 DDoS 보호 활성화

AWS WAF에 대한 새로운 콘솔 환경 소개

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

Application Load Balancer에 대한 리소스 수준 DDoS 보호

리소스 수준 DDoS 보호는 AWS WAF 관리형 규칙 그룹 배포에 요금이 부과되지 않고 Application Load Balancer에 즉각적인 방어 기능을 추가합니다. DDoS 방지 보호의 표준 티어는 AWS 위협 인텔리전스 및 트래픽 패턴 분석을 사용하여 Application Load Balancer를 보호합니다. 알려진 악성 소스를 식별하기 위해 DDoS 방지 보호는 직접 클라이언트 IP 주소와 XFF(X-Forwarded-For) 헤더를 모두 호스트에서 필터링합니다. 알려진 악성 소스가 식별되면 다음 두 모드 중 하나를 통해 보호가 활성화됩니다.

DDoS에서 활성은 기본 보호 모드이며 대부분의 사용 사례에 권장됩니다.

이 모드:

  • 높은 로드 조건 또는 잠재적 DDoS 이벤트를 감지할 때 자동으로 보호 활성화

  • 공격 조건에서만 알려진 악성 소스의 트래픽 속도 제한

  • 정상 운영 중 합법적인 트래픽에 미치는 영향 최소화

  • Application Load Balancer 상태 지표 및 AWS WAF 응답 데이터를 사용하여 보호 참여 시기 결정

Always on은 활성화되면 항상 활성화되는 선택적 모드입니다.

이 모드:

  • 알려진 악성 소스에 대한 지속적인 보호 유지

  • 실시간으로 알려진 악성 소스의 트래픽 속도 제한

  • XFF 헤더에 악성 IP가 있는 직접 연결 및 요청 모두에 보호 적용

  • 합법적인 트래픽에 더 큰 영향을 미칠 수 있지만 보안 극대화

기존 webACL에서 표준 DDoS 보호 활성화

웹 ACL을 생성하거나 Application Load Balancer와 연결된 기존 웹 ACL을 업데이트할 때 DDoS 보호를 활성화할 수 있습니다.

참고

Application Load Balancer와 연결된 기존 웹 ACL이 있는 경우 DDoS에서 활성 모드에서 DDoS 방지 보호가 기본적으로 활성화됩니다.

AWS WAF 콘솔에서 DDoS 방지 보호 활성화

  1. AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/wafv2/homev2에서 AWS WAF 콘솔을 엽니다.

  2. 탐색 창에서 웹 ACL을 선택한 후 Application Load Balancer와 연결된 웹 ACL을 엽니다.

  3. 연결된 AWS 리소스를 선택합니다.

  4. 리소스 수준 DDoS 보호에서 편집을 선택합니다.

  5. 다음 보호 모드 중 하나를 선택합니다.

    • DDoS에서 활성(권장) - 높은 로드 조건에서만 보호 작동

    • Always on - 알려진 악성 소스에 대한 Always on 보호

  6. 변경 사항 저장을 선택합니다.

참고

웹 ACL 생성에 대한 자세한 내용은 AWS WAF에서 보호 팩(웹 ACL) 생성 섹션을 참조하세요.

Application Load Balancer에 대한 웹 ACL 요청 비용 최적화

리소스 수준 보호를 활성화하려면 웹 ACL을 Application Load Balancer와 연결해야 합니다. Application Load Balancer가 구성이 없는 웹 ACL과 연결된 경우 AWS WAF 요청으로 인해 요금이 발생하지 않지만 AWS WAF는 CloudWatch 지표에서 샘플링된 요청을 제공하거나 Application Load Balancer에 대한 보고서를 제공하지 않습니다. 다음 작업을 수행하여 Application Load Balancer에 대한 관찰성 기능을 활성화할 수 있습니다.

AWS WAF는 이러한 구성 없이 샘플링된 요청을 제공하거나 CloudWatch 지표를 게시하지 않습니다.