보호 팩(웹 ACL)에 DDoS 방지 관리형 규칙 그룹 추가 - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, 및 AWS Shield 네트워크 보안 디렉터

AWS WAF에 대한 새로운 콘솔 환경 소개

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

보호 팩(웹 ACL)에 DDoS 방지 관리형 규칙 그룹 추가

이 섹션에서는 AWSManagedRulesAntiDDoSRuleSet 규칙 그룹을 추가하고 구성하는 방법을 설명합니다.

DDoS 방지 관리형 규칙 그룹을 구성하려면 규칙 그룹의 DDoS 공격 관련 민감도와 공격에 참여 중 또는 참여 가능성이 있는 요청에 대해 수행할 작업을 포함하는 설정을 제공해야 합니다. 이 구성은 관리형 규칙 그룹의 일반 구성에 추가됩니다.

규칙 그룹 설명과 규칙 및 레이블 목록은 AWS WAF 분산 서비스 거부(DDoS) 방지 규칙 그룹 섹션을 참조하세요.

이 지침은 AWS WAF 보호 팩(웹 ACL), 규칙 및 규칙 그룹을 만들고 관리하는 방법을 일반적으로 알고 있는 사용자를 대상으로 합니다. 이러한 주제는 이 안내서의 이전 섹션에 설명되어 있습니다. 보호 팩(웹 ACL)에 관리형 규칙 그룹을 추가하는 방법에 대한 기본 정보는 콘솔을 통해 보호 팩(웹 ACL)에 관리형 규칙 그룹 추가 섹션을 참조하세요.

모범 사례 따르기

AWS WAF의 지능형 위협 완화 모범 사례의 모범 사례에 따라 DDoS 방지 규칙 그룹을 사용합니다.

보호 팩(웹 ACL)에서 AWSManagedRulesAntiDDoSRuleSet 규칙 그룹 사용

  1. AWS 관리형 규칙 그룹인 AWSManagedRulesAntiDDoSRuleSet을 보호 팩(웹 ACL)에 추가하고 저장하기 전에 규칙 그룹 설정을 편집합니다.

    참고

    이 관리형 규칙 그룹은 사용 시 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF요금을 참조하세요.

  2. 규칙 그룹 구성 창에서 AWSManagedRulesAntiDDoSRuleSet 규칙 그룹에 대한 사용자 지정 구성을 제공합니다.

    1. 블록 민감도 수준에서 규칙 그룹의 DDoS 의심 레이블 지정과 일치할 때 DDoSRequests 규칙이 얼마나 민감한지 지정합니다. 민감도가 높을수록 규칙이 일치하는 레이블 지정 수준이 낮아집니다.

      • 민감도가 낮으면 덜 민감하기 때문에 공격에서 의심 레이블 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request가 높은 가장 명백한 참가자에게만 규칙이 일치합니다.

      • 중간 민감도는 규칙이 중간 및 높음 의심 레이블과 일치합니다.

      • 민감도가 높으면 규칙이 낮음, 중간, 높음 등 모든 의심 레이블에서 일치합니다.

      이 규칙은 DDoS 공격에 참여한 것으로 의심되는 웹 요청을 가장 심각하게 처리합니다.

    2. 챌린지 활성화에서 기본적으로 일치하는 요청에 Challenge 작업을 적용하는 규칙 ChallengeDDoSRequestsChallengeAllDuringEvent를 활성화할지 여부를 선택합니다.

      이러한 규칙은 합법적인 사용자가 DDoS 공격의 참가자를 차단하면서 요청을 진행할 수 있도록 허용하기 위한 요청 처리를 제공합니다. 작업 설정을 Allow 또는 Count로 재정의하거나 사용을 완전히 비활성화할 수 있습니다.

      이러한 규칙을 활성화하는 경우 원하는 추가 구성을 제공합니다.

      • 챌린지 민감도 수준에서 ChallengeDDoSRequests 규칙의 민감도를 지정합니다.

        민감도가 높을수록 규칙이 일치하는 레이블 지정 수준이 낮아집니다.

        • 민감도가 낮으면 덜 민감하기 때문에 공격에서 의심 레이블 awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request가 높은 가장 명백한 참가자에게만 규칙이 일치합니다.

        • 중간 민감도는 규칙이 중간 및 높음 의심 레이블과 일치합니다.

        • 민감도가 높으면 규칙이 낮음, 중간, 높음 등 모든 의심 레이블에서 일치합니다.

      • Exempt URI 정규식의 경우 자동 브라우저 챌린지를 처리할 수 없는 웹 요청URI와 일치하는 정규식을 제공합니다. Challenge 작업은 자동 브라우저 챌린지를 처리할 수 없는 한, 챌린지 토큰이 누락된 URI의 요청을 효과적으로 차단합니다.

        Challenge 작업은 HTML 콘텐츠가 필요한 클라이언트만 올바르게 처리할 수 있습니다. 작업 작동 방식에 대한 자세한 내용은 CAPTCHA 및 Challenge 작업 동작 섹션을 참조하세요.

        기본 정규식을 검토하고 필요에 따라 업데이트합니다. 규칙은 지정된 정규식을 사용하여 Challenge 작업을 처리할 수 없고 규칙이 챌린지를 다시 보내지 못하게 하는 요청 URI를 식별합니다. 이러한 방식으로 제외하는 요청은 DDoSRequests 규칙이 있는 규칙 그룹에서만 차단할 수 있습니다.

        콘솔에서 제공되는 기본 표현식은 대부분의 사용 사례를 커버하지만 애플리케이션에 맞게 검토하고 조정해야 합니다.

        AWS WAF는 일부 예외를 제외하고 libpcre PCRE 라이브러리에서 사용하는 패턴 구문을 지원합니다. 이 라이브러리는 PCRE - Perl 호환 정규식에 문서화되어 있습니다. AWS WAF 지원에 대한 자세한 내용은 AWS WAF에 지원되는 정규식 구문 단원을 참조하세요.

  3. 규칙 그룹에 사용할 추가 구성을 모두 제공하고 규칙을 저장합니다.

    참고

    AWS는 해당 관리형 규칙 그룹에서 범위 축소 문을 사용하지 않는 것을 권장합니다. 범위 축소 문은 규칙 그룹이 준수하는 요청을 제한하므로 트래픽 기준이 부정확하고 DDoS 이벤트 감지가 감소할 수 있습니다. 범위 축소 문 옵션은 모든 관리형 규칙 그룹 문에 사용할 수 있지만 이 문에는 사용하면 안 됩니다. 범위 축소 문에 대한 자세한 내용은 AWS WAF에서 범위 축소 문 사용 섹션을 참조하세요.

  4. 규칙 우선순위 설정 페이지에서 보유한 Allow 작업 규칙 및 다른 규칙보다 먼저 실행되도록 새 DDoS 방지 관리형 규칙 그룹의 규칙을 위로 이동합니다. 이를 통해 규칙 그룹은 DDoS 방지 보호를 위해 대부분의 트래픽을 추적할 수 있습니다.

  5. 변경 사항을 보호 팩(웹 ACL)에 저장합니다.

프로덕션 트래픽용 DDoS 방지 구현을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 이를 테스트하고 조정합니다. 그런 다음 프로덕션 트래픽을 사용하여 규칙을 개수 모드에서 테스트하고 조정한 다음 활성화합니다. 지침은 다음 섹션을 참조하세요.