Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Shield Standard로 DDoS 공격을 방어하려면 어떻게 해야 합니까?
AWS Shield Standard를 사용하여 분산 서비스 거부(DDoS) 공격에서 애플리케이션을 보호하고 싶습니다.
간략한 설명
AWS Shield Standard는 추가 비용 없이 AWS 계정에서 기본적으로 활성화됩니다. 다음 서비스는 일반적인 네트워크 및 전송 계층 공격에 대한 '상시 작동' Shield 표준 완화 기능을 제공합니다.
- HTTP 및 gRPC 원격 프로시저 호출 워크로드용 Amazon CloudFront
- DNS용 Amazon Route 53
해결 방법
Shield Standard를 사용하여 DDoS 공격에서 애플리케이션을 보호하려면 애플리케이션 아키텍처에 대한 다음 지침을 따르는 것이 모범 사례입니다.
- 규모 조정에 맞게 설계된 서비스 사용
- 공격 영역 표면 줄이기
- 악성 트래픽 탐지 및 필터링
- 애플리케이션 동작 모니터링
- DDoS 공격에 대한 계획 수립
규모 조정에 맞게 설계된 서비스 사용
다음과 같은 모범 사례를 통해 대규모 트래픽을 설계합니다.
- CloudFront, Global Accelerator 및 Route 53을 사용하여 AWS 네트워크의 엣지에서 애플리케이션을 보호하십시오.
- Elastic Load Balancing으로 트래픽을 분산하고, Application Load Balancer의 경우 [용량 예약](Application Load Balancer에 대한 http://용량 예약)을 사용하여 최소 용량을 예약하십시오.
- 여러 서비스와 통합되는 Application Auto Scaling을 사용하여 필요에 따라 수평 또는 수직으로 규모를 조정할 수 있습니다.
공격 영역 표면 줄이기
다음과 같은 모범 사례를 통해 공격 표면 영역을 줄입니다.
- CloudFront 오리진에 대한 액세스를 제한하십시오. Amazon S3 오리진의 경우 오리진 액세스 제어(OAC)를 사용합니다. Elastic Load Balancer, Network Load Balancer 또는 EC2 인스턴스인 오리진의 경우 VPC 오리진을 사용합니다. 현재 VPC 오리진 없이 CloudFront에서 관리하는 접두사 목록을 사용하고 있다면 VPC 오리진을 구현합니다.
- 예상 트래픽만 애플리케이션에 도달하도록 하려면 네트워크 액세스 제어 목록(네트워크 ACL) 및 보안 그룹을 사용하십시오.
- 악성 트래픽이 애플리케이션에 유입될 가능성을 줄이려면 퍼블릭 탄력적 IP 주소를 백엔드 리소스에 할당하지 마십시오.
자세한 내용은 공격 표면 감소를 참조하십시오.
악성 트래픽 탐지 및 필터링
다음과 같은 모범 사례에 따라 악성 트래픽을 탐지하고 필터링합니다.
- 다음 문서에 설명된 AWS WAF 모범 사례를 사용하십시오. DDoS 복원력 - AWS WAF를 사용하여 DDoS 봇넷에 대해 보호
참고: AWS WAF를 사용하려면 Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync 또는 Amazon Cognito를 사용해야 합니다. - CloudFront CDN 캐싱을 사용하여 오리진에 대한 캐시 가능한 요청을 줄일 수 있습니다. HTTP 캐싱의 놀라운 중요성인 DDoS 복원력을 참조하십시오.
- 필요한 경우 API Gateway에서 API 캐싱을 활성화하고 Amazon API Gateway REST API에서 각 메서드의 버스트 제한을 사용하십시오.
자세한 내용은 완화 기법을 참조하십시오.
애플리케이션 동작 모니터링
다음 모범 사례를 사용하여 애플리케이션 동작을 모니터링합니다.
- Amazon CloudWatch 대시보드를 만들어 트래픽 패턴 및 리소스 사용과 같은 애플리케이션의 주요 지표의 기준을 수립하십시오.
- [중앙 집중식 로깅 솔루션](http:// https//docs.aws.amazon.com/solutions/latest/centralized-logging-with-opensearch/solution-overview.html)을 사용하여 CloudWatch 로그의 가시성을 향상하십시오.
- DDoS 공격에 대응하여 애플리케이션의 규모를 자동으로 조정하도록 CloudWatch 경보를 구성하십시오.
자세한 내용은 Application Auto Scaling 모니터링을 참조하십시오.
DDoS 공격에 대한 계획 수립
DDoS 공격에 효율적이고 시기적절하게 대응할 수 있도록 미리 런북을 개발하십시오. 런북을 만드는 방법에 대한 안내는 AWS Security Incident Response 기술 가이드를 참조하십시오.
DDoS 공격에서 애플리케이션을 보호하는 방법에 대한 자세한 내용은 DDoS 복원력에 대한 AWS 모범 사례를 참조하십시오.
관련 정보
CloudFront 및 Route 53을 사용하여 DDoS 공격에 대해 동적 웹 애플리케이션을 보호하는 방법
Route 53 및 외부 콘텐츠 전송 네트워크를 사용하여 DDoS 공격에 대해 웹 애플리케이션을 보호하는 방법
AWS Global Accelerator 및 AWS Shield Advanced를 사용하여 DDoS 공격에 대해 자체 관리형 DNS 서비스를 보호하는 방법
- 언어
- 한국어
관련 콘텐츠
- 질문됨 일 년 전
- 질문됨 일 년 전
- 질문됨 일 년 전
