AWS Shield와 AWS WAF로 DDoS 대응 방안

이 게시물은 AWS에서 제공하는 DDoS 공격 대응 서비스인 AWS Shield와 AWS WAF의 기능과 활용 방법에 대해 설명합니다.

DDoS 공격 유형 및 대응 서비스

• AWS Shield Standard는 네트워크 계층(OSI 3-4) 공격에 대해 기본 제공 보호
• AWS Shield Advanced는 상세 탐지와 자동 완화, SRT 지원 등의 추가 기능 제공
• AWS WAF는 애플리케이션 계층(OSI 6-7) 공격을 탐지하고 방어

워크로드 유형별 방어 전략

• 확장 불가능한 워크로드는 Shield Advanced 구독과 SRT 지원으로 보호
• 확장 가능한 워크로드는 CloudFront, WAF, ALB 등을 활용한 아키텍처로 방어

주요 방어 기능 및 모니터링

• Syn Proxy, 글로벌 액셀러레이터, Route 53 등 네트워크 공격 대비 기능
• WAF의 속도 제한, IP 평판 및 익명 IP 차단 규칙
• Shield와 WAF의 대시보드 및 CloudWatch를 통한 실시간 모니터링

결론

네트워크 및 애플리케이션 계층 DDoS 공격은 각각 적합한 서비스와 아키텍처 개선, Shield Advanced 구독을 통해 효과적으로 대응할 수 있습니다.