반응형
◇ 공부 기록용으로 작성하였으니 틀린점, 피드백 주시면 감사하겠습니다 ◇
Web Application 보호 서비스
AWS WAF
WAF (Web Application Firewall)는 공격자로부터 웹 어플리케이션을 보호하기 위한 서비스이다.
웹 어플리케이션과 공격자(해커) 사이에 WAF는 Firewall 역할을 한다.
WAF 특징
- WAF는 L7 (어플리케이션 층)에서만 동작
- WAF는 SQL Injection 또는 XSS(Cross-Site Scripting)와 같은 공격을 막아준다.
- SQL Injection: 어플리케이션의 취약점을 파고 들어 데이터베이스에 악성 SQL문을 주입하여 문제를 일으킴
- Cross-Site Scripting: 관리자가 아닌 권한이 없는 사용자가 웹 사이트에 악성 스크립트를 삽입하여 문제를 일으킴
- "Web ACL"라는 것을 통해 IP 주소, HTTP 헤더, HTTP 본문, URI 문자열 등에 대해 필터링 조건을 설정할 수 있다.
- WAF는 CloudFront, ALB, API Gateway, Global Accelerator, AppSync 등에 연결하여 접근을 제약한다.
구성요소
- Web ACLs (Web Access Control Lists)
- Rule
- Rule Group
Web ACLs ⊃ Rlue Group ⊃ Rule:
Web ACLs에 Rlue Group을 포함하고, Rule Group에 Rule이 포함된 형식
Web ACLs
Web ACLs에 Rule Groups을 추가해야 된다.
Rule Groups
Rule을 모아서 집합을 만들 수 있다. Rule Group을 통해 Rule을 재사용할 수 있다.
Rule
AWS WAF는 다양한 규칙을 사용하여 요청 트래픽을 제어한다.
WAF의 Rule은 Statement와 Action으로 구성된다.
- Statement: 들어오는 요청에 대해서 조건을 설정한다.
- Action: 실질적으로 Statement에서 조건에 걸린 요청을 허용할지 블록할지 정한다.
- 예시1) 특정 IP 주소에서 오는 요청을 차단
- Statement: 특정 IP 주소에 대한 정의
- Action: "Block"
- 예시2) 특정 국가에서 오는 요청을 차단.
- Statement: 특정 국가에 대한 정의
- Action: "Block"
요금
- WebACL 하나당 5달러/월
- Rule 하나당 1달러/월
- 100만 요청당 0.6달러/월
https://aws.amazon.com/waf/pricing/
요금 – AWS WAF – Amazon Web Services(AWS)
AWS WAF Bot Control은 초과 리소스를 사용하거나 지표가 왜곡되거나 가동 중단이 발생하거나 기타 원하지 않는 활동을 수행할 수 있는 널리 사용되는 일반적인 봇 트래픽을 제어하고 가시성을 확보
aws.amazon.com
DDoS 공격으로부터 보호 서비스
AWS Shield
DDoS 공격:
공격자(해커)가 여러개의 컴퓨터를 활용해서 서버에 집중적으로 대량 트래픽을 통해 서버를 다운시킴
공격자(해커)가 여러개의 컴퓨터를 활용해서 서버에 집중적으로 대량 트래픽을 통해 서버를 다운시킴
AWS Shield는 DDoS 공격으로부터 보호하는 서비스이다.
AWS Managed(관리형) 서비스이다.
AWS Shield 플랜 종류
2가지 플랜이 있다.
- Standard: 무료 (Shield를 이용하면 자동으로 적용)
- Advanced: 유료 (large scale DDOS 공격이라면 Advanced를 이용하는게 맞다)
| Standard | Advanced | |
| 요금 | 무료 | 유료 |
| 보호 레이어 | L3, L4 | L3, L4, L7 |
| 적용 가능 서비스 | CloudFront・Route53 ・ELB (위 서비스 까지는 무료) |
CloudFront・Route53・ELB ・ Global Accelerator ・EC2 인스턴스, Elastic IP |
| 디도스 공격 이력 |
볼 수 없다 | 볼 수 있다 |
Standard
- 무료
- L3, L4 보호
- 레포트(디도스 공격 이력) 보기 불가
Advanced
- large scale DDOS 공격 예방
- 유료 (조직 단위로 월 3000달러으로 상당히 비싸다. 연간 계약이 필요하다.)
- L3, L4, L7 보호
- 레포트(디도스 공격 이력) 보기 가능
- 24시간, 365일 전문가팀(Shield Response Team, SRT)이 서포트
728x90
반응형
