AWS WAF의 지능형 위협 완화 모범 사례

JavaScript 및 모바일 애플리케이션 통합 SDK 구현 — ACFP, ATP 또는 Bot Control 기능의 전체 집합을 가능한 가장 효과적인 방법으로 사용할 수 있도록 애플리케이션 통합을 구현합니다. 관리형 규칙 그룹은 SDK에서 제공하는 토큰을 사용하여 세션 수준에서 합법적인 클라이언트 트래픽을 바람직하지 않은 트래픽과 분리합니다. 애플리케이션 통합 SDK에서는 이러한 토큰을 항상 사용할 수 있습니다. 세부 정보는 다음을 참조하세요.

통합을 사용하여 클라이언트에서 챌린지를 구현하고 JavaScript의 경우 최종 사용자에게 CAPTCHA 퍼즐을 제시하는 방식을 사용자 지정할 수 있습니다. 자세한 내용은 AWS WAF의 클라이언트 애플리케이션 통합을 참조하세요.

JavaScript API를 사용하여 CAPTCHA 퍼즐을 사용자 지정하고 보호 팩(웹 ACL)의 어느 위치에서든 CAPTCHA 규칙 작업을 사용하는 경우에는 AWS WAF에서 CAPTCHA 응답 처리에서 클라이언트의 AWS WAF CAPTCHA 응답 처리 지침을 따르세요. 이 지침은 ACFP 관리형 규칙 그룹의 규칙과 Bot Control 관리형 규칙 그룹의 대상 보호 수준을 포함하여 CAPTCHA 작업을 사용하는 모든 규칙에 적용됩니다.

ACFP, ATP 및 Bot Control 규칙 그룹으로 보내는 요청 제한 - 지능형 위협 완화 AWS 관리형 규칙 그룹 사용 시 추가 요금이 발생합니다. ACFP 규칙 그룹은 사용자가 지정한 계정 등록 및 생성 엔드포인트에 대한 요청을 검사합니다. ATP 규칙 그룹은 사용자가 지정한 로그인 엔드포인트에 대한 요청을 검사합니다. 봇 컨트롤 규칙 그룹은 보호 팩(웹 ACL) 평가에서 로그인 엔드포인트에 도달한 모든 요청을 검사합니다.

이러한 규칙 그룹의 사용을 줄이려면 다음과 같은 방법을 고려하십시오.

자세한 요금 정보는 AWS WAF 요금을 참조하세요.

Anti-DDoS 규칙 그룹에 보내는 요청 제한 금지 - 이 규칙 그룹은 명시적으로 허용하지 않는 모든 웹 트래픽을 모니터링하도록 구성하는 경우에 가장 잘 작동합니다. Allow 규칙 작업이 포함된 규칙 다음에만 평가되고 다른 모든 규칙보다 먼저 평가되도록 웹 ACL에 배치합니다.

분산 서비스 거부(DDoS) 보호의 경우 Anti-DDoS 또는 Shield Advanced 자동 애플리케이션 계층 DDoS 완화 사용 - 다른 지능형 위협 완화 규칙 그룹은 DDoS 보호를 제공하지 않습니다. ACFP는 애플리케이션 가입 페이지에 대한 사기 계정 생성 시도로부터 보호합니다. ATP는 로그인 페이지에 대한 계정 탈취 시도로부터 보호합니다. Bot Control은 토큰을 사용하여 사람과 유사한 액세스 패턴을 적용하고 클라이언트 세션에 동적 속도 제한을 적용하는 데 중점을 둡니다.

Anti-DDoS를 사용하면 DDoS 공격을 모니터링하고 제어할 수 있으므로 위협에 대해 신속하게 대응하고 완화할 수 있습니다. 자동 애플리케이션 계층 DDoS 완화를 사용하는 Shield Advanced는 사용자를 대신하여 자동으로 사용자 지정 AWS WAF 완화를 생성, 평가 및 배포하여 탐지된 DDoS 공격에 대응합니다.

Shield Advanced에 대한 자세한 내용은 AWS Shield Advanced 개요 및 AWS Shield Advanced 및 AWS WAF를 사용하여 애플리케이션 계층(계층 7) 보호 섹션을 참조하세요.

분산 서비스 거부(DDoS) 방지에 대한 자세한 내용은 DDoS 방지 규칙 그룹 및 분산 서비스 거부(DDoS) 방지 섹션을 참조하세요.

정상적인 웹 트래픽 중에 봇 컨트롤 규칙 그룹의 Anti-DDoS 규칙 그룹 및 대상 보호 수준 활성화 - 이러한 규칙 범주는 정상 트래픽의 기준을 설정하는 데 시간이 필요합니다.

정상적인 웹 트래픽 중 Bot Control 규칙 그룹의 표적 보호 수준 활성화 — 대상 보호 수준의 일부 규칙은 불규칙하거나 악의적인 트래픽 패턴을 인식하고 이에 대응하기 전에 정상적인 트래픽 패턴의 기준을 설정하는 데 시간이 필요합니다. 예를 들어, TGT_ML_* 규칙을 워밍업하려면 최대 24시간이 필요합니다.

공격이 발생하지 않을 때 이러한 보호 기능을 추가하고 적절하게 대응할 것으로 예상하기 전에 보호의 기준이 설정될 때까지 기다립니다. 공격 중에 이러한 규칙을 추가하는 경우 개수 모드에서 Anti-DDoS 규칙 그룹을 활성화해야 합니다. 공격이 진정된 후 공격 트래픽으로 인한 왜곡이 가중되므로 일반적으로 기준을 설정하는 데 정상 소요 시간의 2배~3배가 걸리게 됩니다. 규칙 및 규칙에 필요한 준비 시간에 대한 자세한 내용은 규칙 목록 섹션을 참조하세요.

분산 서비스 거부 (DDoS) 방어의 경우 Shield Advanced 자동 애플리케이션 계층 DDoS 완화 사용 - 지능형 위협 완화 규칙 그룹은 DDoS 보호를 제공하지 않습니다. ACFP는 애플리케이션 가입 페이지에 대한 사기 계정 생성 시도로부터 보호합니다. ATP는 로그인 페이지에 대한 계정 탈취 시도로부터 보호합니다. Bot Control은 토큰을 사용하여 사람과 유사한 액세스 패턴을 적용하고 클라이언트 세션에 동적 속도 제한을 적용하는 데 중점을 둡니다.

자동 애플리케이션 계층 DDoS 완화를 사용하도록 설정한 Shield Advanced를 사용하면 Shield Advanced는 사용자를 대신하여 자동으로 사용자 지정 AWS WAF 완화를 생성, 평가 및 배포하여 탐지된 DDoS 공격에 대응합니다. Shield Advanced에 대한 자세한 내용은 AWS Shield Advanced 개요 및 AWS Shield Advanced 및 AWS WAF를 사용하여 애플리케이션 계층(계층 7) 보호 섹션을 참조하세요.

Anti-DDoS 규칙 그룹의 기준을 설정할 때 프로덕션 트래픽 부하 사용 - 인공 테스트 트래픽을 사용하여 다른 규칙 그룹을 테스트하는 것이 일반적입니다. 그러나 Anti-DDoS 규칙 그룹의 기준을 테스트하고 설정할 때는 프로덕션 환경의 부하를 반영하는 트래픽 흐름을 사용하는 것이 좋습니다. 일반적인 트래픽을 사용하여 Anti-DDoS 기준을 설정하는 것이 프로덕션 환경에서 규칙 그룹을 활성화할 때 리소스를 보호할 수 있는 가장 좋은 방법입니다.

토큰 처리 조정 및 구성 - 최상의 사용자 환경을 제공할 수 있도록 보호 팩(웹 ACL)의 토큰 처리를 조정합니다.

임의 호스트 사양을 포함하는 요청 거부 - 웹 요청의 Host 헤더와 대상 리소스 간 일치가 필수 조건이 되도록 보호된 리소스를 구성하십시오. 단일 값 또는 특정 값 집합(예: myExampleHost.com 및) 는 허용할 수 있지만 www.myExampleHost.com 호스트에 대해 임의의 값은 수락하지 마십시오.

CloudFront 배포용 오리진인 Application Load Balancer에 대해 CloudFront를 구성하고 적절한 토큰 처리를 위해 AWS WAF 구성 - 보호 팩(웹 ACL)을 Application Load Balancer에 연결하고 Application Load Balancer를 CloudFront 배포의 오리진으로 배포하는 경우 CloudFront 오리진인 Application Load Balancer에 필요한 구성 섹션을 참조하세요.

배포 전 테스트 및 조정 - 보호 팩(웹 ACL)에 변경 사항을 구현하기 전에 이 안내서의 테스트 및 조정 절차에 따라 예상대로 작동하는지 확인합니다. 이 점은 이러한 유료 기능의 경우 특히 중요합니다. 일반적인 지침은 AWS WAF 보호 기능 테스트 및 튜닝 섹션을 참조하세요. 유료 관리형 규칙 그룹과 관련된 자세한 내용은 ACFP 테스트 및 배포, ATP 테스트 및 배포 및 AWS WAF Bot Control 테스트 및 배포 섹션을 참조하세요.