의 지능형 위협 완화 모범 사례 AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced및 AWS Shield 네트워크 보안 디렉터

에 대한 새로운 콘솔 환경 소개 AWS WAF

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 지능형 위협 완화 모범 사례 AWS WAF

이 섹션의 모범 사례를 따르면 지능형 위협 완화 기능을 가장 효율적이고 비용 효율적으로 구현할 수 있습니다.

  • JavaScript 및 모바일 애플리케이션 통합 SDK 구현 — ACFP, ATP 또는 Bot Control 기능의 전체 집합을 가능한 가장 효과적인 방법으로 사용할 수 있도록 애플리케이션 통합을 구현합니다. 관리형 규칙 그룹은 SDK에서 제공하는 토큰을 사용하여 세션 수준에서 합법적인 클라이언트 트래픽을 바람직하지 않은 트래픽과 분리합니다. 애플리케이션 통합 SDK에서는 이러한 토큰을 항상 사용할 수 있습니다. 세부 정보는 다음을 참조하세요.

    통합을 사용하여 클라이언트에서 챌린지를 구현하고 JavaScript의 경우 최종 사용자에게 CAPTCHA 퍼즐을 제시하는 방식을 사용자 지정할 수 있습니다. 자세한 내용은 의 클라이언트 애플리케이션 통합 AWS WAF을 참조하세요.

    JavaScript API를 사용하여 CAPTCHA 퍼즐을 사용자 지정하고 보호 팩 또는 웹 ACL의 모든 위치에서 CAPTCHA 규칙 작업을 사용하는 경우의 클라이언트에서 AWS WAF CAPTCHA 응답을 처리하기 위한 지침을 따르세요에서 CAPTCHA 응답 처리 AWS WAF. 이 지침은 ACFP 관리형 규칙 그룹의 규칙과 Bot Control 관리형 규칙 그룹의 대상 보호 수준을 포함하여 CAPTCHA 작업을 사용하는 모든 규칙에 적용됩니다.

  • ACFP, ATP 및 Bot Control 규칙 그룹에 보내는 요청 제한 - 지능형 위협 완화 AWS 관리형 규칙 그룹을 사용하면 추가 요금이 발생합니다. ACFP 규칙 그룹은 사용자가 지정한 계정 등록 및 생성 엔드포인트에 대한 요청을 검사합니다. ATP 규칙 그룹은 사용자가 지정한 로그인 엔드포인트에 대한 요청을 검사합니다. Bot Control 규칙 그룹은 보호 팩 또는 웹 ACL 평가에서 도달하는 모든 요청을 검사합니다.

    이러한 규칙 그룹의 사용을 줄이려면 다음과 같은 방법을 고려하십시오.

    • 관리형 규칙 그룹 문에서 범위 축소 문을 사용하여 검사에서 요청을 제외하십시오. 모든 중첩 가능한 명령문을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 에서 범위 축소 문 사용 AWS WAF 단원을 참조하세요.

    • 규칙 그룹 앞에 규칙을 추가하여 검사에서 요청을 제외시킵니다. 범위 축소 문에 사용할 수 없는 규칙의 경우, 그리고 레이블 지정 후 레이블 일치와 같은 좀 더 복잡한 상황의 경우 규칙 그룹보다 먼저 실행되는 규칙을 추가할 수 있습니다. 자세한 내용은 에서 범위 축소 문 사용 AWS WAF에서 규칙 문 사용 AWS WAF 섹션을 참조하세요.

    • 비용이 더 저렴한 규칙 이후에 규칙 그룹을 실행합니다. 어떤 이유로든 요청을 차단하는 다른 표준 AWS WAF 규칙이 있는 경우 이러한 유료 규칙 그룹보다 먼저 실행합니다. 규칙 및 규칙 관리에 대한 자세한 내용은 에서 규칙 문 사용 AWS WAF 섹션을 참조하세요.

    • 지능형 위협 완화 관리형 규칙 그룹을 두 개 이상 사용하는 경우 비용을 낮추려면 Bot Control, ATP, ACFP 순으로 실행합니다.

    자세한 요금 정보는 AWS WAF 요금을 참조하세요.

  • DDoS 규칙 그룹에 보내는 요청을 제한하지 마십시오.이 규칙 그룹은 명시적으로 허용하지 않는 모든 웹 트래픽을 모니터링하도록에서 구성할 때 가장 잘 작동합니다. Allow 규칙 작업이 포함된 규칙과 다른 모든 규칙보다 먼저 평가되도록 웹 ACL에 배치합니다.

  • 분산 서비스 거부(DDoS) 보호의 경우 Anti-DDoS 또는 Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 사용합니다. 다른 지능형 위협 완화 규칙 그룹은 DDoS 보호를 제공하지 않습니다. ACFP는 애플리케이션 가입 페이지에 대한 사기 계정 생성 시도로부터 보호합니다. ATP는 로그인 페이지에 대한 계정 탈취 시도로부터 보호합니다. Bot Control은 토큰을 사용하여 사람과 유사한 액세스 패턴을 적용하고 클라이언트 세션에 동적 속도 제한을 적용하는 데 중점을 둡니다.

    안티 DDoS를 사용하면 DDoS 공격을 모니터링하고 제어할 수 있으므로 위협에 신속하게 대응하고 완화할 수 있습니다. 자동 애플리케이션 계층 DDoS 완화 기능이 있는 Shield Advanced는 사용자를 대신하여 사용자 지정 AWS WAF 완화 기능을 생성, 평가 및 배포하여 탐지된 DDoS 공격에 자동으로 대응합니다.

    Shield Advanced에 대한 자세한 내용은 AWS Shield Advanced 개요AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF 섹션을 참조하세요.

    분산 서비스 거부(DDoS) 방지에 대한 자세한 내용은 Anti-DDoS 규칙 그룹 및 섹션을 참조하세요분산 서비스 거부(DDoS) 방지.

  • 정상적인 웹 트래픽 중에 Bot Control 규칙 그룹의 Anti-DDoS 규칙 그룹 및 대상 보호 수준 활성화 - 이러한 규칙 범주는 정상 트래픽의 기준을 설정하는 데 시간이 필요합니다.

    정상적인 웹 트래픽 중 Bot Control 규칙 그룹의 표적 보호 수준 활성화 — 대상 보호 수준의 일부 규칙은 불규칙하거나 악의적인 트래픽 패턴을 인식하고 이에 대응하기 전에 정상적인 트래픽 패턴의 기준을 설정하는 데 시간이 필요합니다. 예를 들어, TGT_ML_* 규칙을 워밍업하려면 최대 24시간이 필요합니다.

    공격을 받지 않을 때 이러한 보호를 추가하고 적절한 대응을 기대하기 전에 기준을 설정할 시간을 줍니다. 공격 중에 이러한 규칙을 추가하는 경우 카운트 모드에서 Anti-DDoS 규칙 그룹을 활성화해야 합니다. 공격이 가라앉은 후, 공격 트래픽에 의해 추가된 왜곡으로 인해 기준선을 설정하는 데 걸리는 시간은 일반적으로 정상 필수 시간의 두 배에서 세 배까지입니다. 규칙 및 규칙에 필요한 준비 시간에 대한 자세한 내용은 규칙 목록 섹션을 참조하세요.

  • 분산 서비스 거부 (DDoS) 방어의 경우 Shield Advanced 자동 애플리케이션 계층 DDoS 완화 사용 - 지능형 위협 완화 규칙 그룹은 DDoS 보호를 제공하지 않습니다. ACFP는 애플리케이션 가입 페이지에 대한 사기 계정 생성 시도로부터 보호합니다. ATP는 로그인 페이지에 대한 계정 탈취 시도로부터 보호합니다. Bot Control은 토큰을 사용하여 사람과 유사한 액세스 패턴을 적용하고 클라이언트 세션에 동적 속도 제한을 적용하는 데 중점을 둡니다.

    자동 애플리케이션 계층 DDoS 완화가 활성화된 상태에서 Shield Advanced를 사용하면 Shield Advanced는 사용자를 대신하여 사용자 지정 AWS WAF 완화를 생성, 평가 및 배포하여 탐지된 DDoS 공격에 자동으로 대응합니다. Shield Advanced에 대한 자세한 내용은 AWS Shield Advanced 개요AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF 섹션을 참조하세요.

  • DDoS 방지 규칙 그룹의 기준을 설정할 때 프로덕션 트래픽 부하 사용 - 인공 테스트 트래픽을 사용하여 다른 규칙 그룹을 테스트하는 것이 일반적입니다. 그러나 Anti-DDoS 규칙 그룹의 기준을 테스트하고 설정할 때는 프로덕션 환경의 부하를 반영하는 트래픽 흐름을 사용하는 것이 좋습니다. 일반적인 트래픽을 사용하여 DDoS 방지 기준을 설정하는 것이 프로덕션 환경에서 규칙 그룹을 활성화할 때 리소스를 보호할 수 있는 가장 좋은 방법입니다.

  • 토큰 처리 조정 및 구성 - 최상의 사용자 경험을 위해 보호 팩 또는 웹 ACL의 토큰 처리를 조정합니다.

    • 운영 비용을 줄이고 최종 사용자 환경을 개선하려면 토큰 관리 면제 시간을 보안 요구 사항이 허용하는 최장 시간으로 조정합니다. 이를 통해 CAPTCHA 퍼즐과 자동 챌린지 사용을 최소화할 수 있습니다. 자세한 내용은 에서 타임스탬프 만료 및 토큰 면제 시간 설정 AWS WAF 단원을 참조하세요.

    • 보호된 애플리케이션 간에 토큰 공유를 활성화하려면 보호 팩 또는 웹 ACL에 대한 토큰 도메인 목록을 구성합니다. 자세한 내용은 에서 토큰 도메인 및 도메인 목록 지정 AWS WAF 단원을 참조하세요.

  • 임의 호스트 사양을 포함하는 요청 거부 - 웹 요청의 Host 헤더와 대상 리소스 간 일치가 필수 조건이 되도록 보호된 리소스를 구성하십시오. 단일 값 또는 특정 값 집합(예: myExampleHost.com 및) 는 허용할 수 있지만 www.myExampleHost.com 호스트에 대해 임의의 값은 수락하지 마십시오.

  • CloudFront 배포의 오리진인 Application Load Balancer의 경우 적절한 토큰 처리를 AWS WAF 위해 CloudFront 및를 구성합니다. 보호 팩 또는 웹 ACL을 Application Load Balancer에 연결하고 Application Load Balancer를 CloudFront 배포의 오리진으로 배포하는 경우 섹션을 참조하세요CloudFront 오리진인 Application Load Balancer에 필요한 구성.

  • 배포하기 전에 테스트 및 튜닝 - 보호 팩 또는 웹 ACL에 대한 변경 사항을 구현하기 전에이 가이드의 테스트 및 튜닝 절차에 따라 원하는 동작을 얻고 있는지 확인합니다. 이 점은 이러한 유료 기능의 경우 특히 중요합니다. 일반적인 지침은 AWS WAF 보호 기능 테스트 및 튜닝 섹션을 참조하세요. 유료 관리형 규칙 그룹과 관련된 자세한 내용은 ACFP 테스트 및 배포, ATP 테스트 및 배포AWS WAF Bot Control 테스트 및 배포 섹션을 참조하세요.