Cloud Infra Architecture (AWS)/AWS SAA-C03

AWS Shield & WAF란?

seongduck 2023. 1. 12. 09:16

AWS Shield란?

  • AWS 웹 애플리케이션을 DDoS (Distributed Denial of Service) 공격으로부터 보호
    • DDoS란? 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 행위 

AWS는 2가지 유형의 Shield를 제공한다.
1) Shield Standard

  • 모든 AWS사용자에게 적용되어 있음 (무료)
  • SYN / UDP Flood등 기본적인 DDoS공격 보호

2) Shield Advanced

  • 스탠다드 서비스보다 많은 보호 제공 (유료)
  • EC2, ELB, CloudFront, Route 53등에서 정교한 DDoS보호 제공


WAF란? (Web Application Firewall)

  • 웹 애플리케이션을 보호하는 방화벽
  • HTTP (OSI 7계층)에서 동작
  • ALB, API Gateway, CloudFront에 적용 가능
  • WAF의 Web ACL(Access Control List)를 통해 정의할 수 있는 기능
    • 1) 악성 IP 주소차단
    • 2) 특정 국가의 액세스 제어 (차단)
    • 3) SQL Injection, Cross-Site-Scripting(XSS) 방어
    • 4) 속도기반규칙 (Rate-based rules)으로 DDoS공격 방어
      • 5분안에 특정 ip가 500번 접속한다면 그 ip차단!

AWS Firewall Manager이란?

  • AWS Organizations의 여러 계정과 애플리케이션의 방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 보안관리 서비스
  • 중앙의 관리자 계정에서 방화벽 규칙을 수립하고, 보안 정책을 생성하며, 전체 인프라에 걸쳐 중앙에서 적용 가능
  • 중앙에서 여러 AWS 계정 및 리소스에 걸쳐있는 Amazon VPC에 대해 AWS WAF 규칙, AWS Shield Advanced 보호, 보안 그룹 및 AWS Network Firewall 규칙 및 AWS Marketplace 서드 파티 방화벽 규칙 및 Amazon Route 53 Resolver DNS Firewall 규칙을 중앙에서 구성 가능

실습


  1. WAF 서비스에 들어가 ACL을 생성하자
  2. 이름은 WAF 및 리로스 타입은 CloudFront 혹은 Load Balance로 할 수 있다. 기본 설정으로 하자
  3. 규칙을 추가할 수 있는데 AWS에서 지정한 규칙 혹은 직접 만들어서 사용할 수 있다.
  4. 이 규칙에 맞지 않을때 Block 혹은 anAllow를 할 수 있다.
  5. CloudWatch 통합 기능도 있다.
  6. 이렇게 ACL을 생성!!


생성후에도 추가적으로 규칙을 설정할 수 있다.