AWS Shield란?
- AWS 웹 애플리케이션을 DDoS (Distributed Denial of Service) 공격으로부터 보호
- DDoS란? 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 행위
AWS는 2가지 유형의 Shield를 제공한다.
1) Shield Standard
- 모든 AWS사용자에게 적용되어 있음 (무료)
- SYN / UDP Flood등 기본적인 DDoS공격 보호
2) Shield Advanced
- 스탠다드 서비스보다 많은 보호 제공 (유료)
- EC2, ELB, CloudFront, Route 53등에서 정교한 DDoS보호 제공
WAF란? (Web Application Firewall)
- 웹 애플리케이션을 보호하는 방화벽
- HTTP (OSI 7계층)에서 동작
- ALB, API Gateway, CloudFront에 적용 가능
- WAF의 Web ACL(Access Control List)를 통해 정의할 수 있는 기능
- 1) 악성 IP 주소차단
- 2) 특정 국가의 액세스 제어 (차단)
- 3) SQL Injection, Cross-Site-Scripting(XSS) 방어
- 4) 속도기반규칙 (Rate-based rules)으로 DDoS공격 방어
- 5분안에 특정 ip가 500번 접속한다면 그 ip차단!
AWS Firewall Manager이란?
- AWS Organizations의 여러 계정과 애플리케이션의 방화벽 규칙을 중앙에서 구성 및 관리할 수 있는 보안관리 서비스
- 중앙의 관리자 계정에서 방화벽 규칙을 수립하고, 보안 정책을 생성하며, 전체 인프라에 걸쳐 중앙에서 적용 가능
- 중앙에서 여러 AWS 계정 및 리소스에 걸쳐있는 Amazon VPC에 대해 AWS WAF 규칙, AWS Shield Advanced 보호, 보안 그룹 및 AWS Network Firewall 규칙 및 AWS Marketplace 서드 파티 방화벽 규칙 및 Amazon Route 53 Resolver DNS Firewall 규칙을 중앙에서 구성 가능
실습
- WAF 서비스에 들어가 ACL을 생성하자
- 이름은 WAF 및 리로스 타입은 CloudFront 혹은 Load Balance로 할 수 있다. 기본 설정으로 하자
- 규칙을 추가할 수 있는데 AWS에서 지정한 규칙 혹은 직접 만들어서 사용할 수 있다.
- 이 규칙에 맞지 않을때 Block 혹은 anAllow를 할 수 있다.
- CloudWatch 통합 기능도 있다.
- 이렇게 ACL을 생성!!
생성후에도 추가적으로 규칙을 설정할 수 있다.
'Cloud Infra Architecture (AWS) > AWS SAA-C03' 카테고리의 다른 글
AWS Organizations이란? (0) | 2023.01.12 |
---|---|
AWS GuardDuty, Macie, Inspector란? (0) | 2023.01.12 |
AWS Certificate Manager (ACM)이란? (0) | 2023.01.12 |
AWS Secrets Manager란? (0) | 2023.01.12 |
AWS Key Management Service (KMS)란? (1) | 2023.01.12 |