프로필 배경
프로필 로고

땅콩킹땅콩🥜

Security/Cloud Computing ・2023. 5. 10. fullscreen 넓게보기

[AWS SAA-C03] AWS Shield 정리

AWS 쉴드

  • AWS Shield는 AWS에서 실행 중인 애플리케이션을 보호하는 관리형 분산 서비스 거부(DDoS) 보호 서비스입니다.

  • AWS Shield는 애플리케이션 다운타임과 지연 시간을 최소화하는 상시 감지 및 자동 인라인 완화 기능을 제공합니다.

  • AWS Shield는 다음 유형의 공격을 탐지합니다.

  • 네트워크 볼륨 공격(레이어 3)

    • 인프라 계층 공격 벡터의 하위 범주입니다.

    • 이러한 공격은 표적이 되는 네트워크 또는 리소스의 용량을 포화시켜 합법적인 사용자에 대한 서비스를 거부하려고 시도합니다.

  • 네트워크 프로토콜 공격(계층 4)

    • 인프라 계층 공격 기법의 하위 범주입니다.

    • 이러한 공격 기법은 프로토콜을 악용하여 표적 리소스에 대한 서비스를 거부합니다.

    • 네트워크 프로토콜 공격의 일반적인 예로는 서버, 로드 밸런서 또는 방화벽과 같은 리소스의 연결 상태를 고갈시킬 수 있는 TCP SYN Flood가 있습니다.

    • 네트워크 프로토콜 공격은 또한 대량으로 이루어질 수도 있는데, 예를 들어 대규모 TCP SYN 플러드는 네트워크의 용량을 포화시키는 동시에 표적 리소스나 중간 리소스의 상태를 고갈시키려는 의도가 있을 수 있습니다.

  • 애플리케이션 레이어 공격(레이어 7)

    • 이 범주의 공격 기법은 웹 요청 폭주와 같이 공격 대상에 유효한 쿼리로 애플리케이션을 폭주시켜 정상적인 사용자에 대한 서비스를 거부하려고 시도합니다.

AWS 쉴드 계층

AWS Shield 표준

  • 모든 고객에게 추가 비용 없이 자동 보호 기능 제공

  • 웹 사이트 또는 애플리케이션을 대상으로 하는 가장 일반적이고 자주 발생하는 네트워크 및 전송 계층 DDoS 공격을 방어합니다.

  • CloudFront 및 Route 53을 통해 알려진 모든 인프라(레이어 3 및 4) 공격에 대한 포괄적인 가용성 보호가 제공됩니다.

  • 결정적 패킷 필터링 및 우선순위 기반 트래픽 쉐이핑과 같은 기술을 사용하여 기본 네트워크 계층 공격을 자동으로 완화합니다.

AWS Shield Advanced

  • AWS Shield Advanced는 DDoS 공격, 볼륨 봇, 취약점 악용 시도와 같은 외부 위협으로부터 애플리케이션을 보호하는 데 도움이 되는 관리형 서비스입니다.

  • 대규모의 정교한 DDoS 공격에 대한 추가적인 탐지 및 완화 기능을 제공하며, 공격에 대한 실시간에 가까운 가시성을 제공합니다.

  • 추가 비용 없이 웹 애플리케이션 방화벽인 AWS WAF와의 통합을 제공합니다. WebACL에 WAF 규칙을 생성하여 공격을 자동으로 완화하거나 카운트 전용 모드로 활성화할 수 있습니다.

  • 또한 24시간 연중무휴로 AWS SRT(Shield Response Team)에 접속할 수 있으며, EC2, ELB, CloudFront, AWS 글로벌 가속기, Route 53 요금의 DDoS 관련 급증에 대한 보호 기능을 제공합니다.

  • 보호된 리소스에 대한 DDoS 관련 사용량 급증으로 인한 확장 요금으로부터 보호할 수 있는 DDoS 비용 보호 기능을 제공합니다.

  • 네트워크 및 전송 레이어 공격 외에도 애플리케이션의 트래픽을 기준으로 삼고 이상 징후를 식별하여 HTTP 플러드 또는 DNS 쿼리 플러드와 같은 애플리케이션 레이어(레이어 7) 공격도 탐지합니다.

  • 전 세계 모든 CloudFront, Global Accelerator, Route 53 엣지 위치에서 사용할 수 있습니다.

  • 방화벽 관리자를 사용한 중앙 집중식 보호 관리가 포함됩니다.

    • 여러 계정과 리소스를 포함하는 정책을 자동으로 구성할 수 있는 Firewall Manager를 사용한 중앙 집중식 보호 관리가 포함됩니다.

    • 계정을 감사하여 새 리소스나 보호되지 않는 리소스를 찾아내고 Shield Advanced 및 AWS WAF 보호 기능이 보편적으로 적용되도록 보장합니다.

  • CloudWatch를 통한 거의 실시간에 가까운 알림과 AWS WAF 및 AWS Shield 콘솔 또는 API의 상세 진단을 통해 DDoS 공격에 대한 완벽한 가시성을 제공합니다.

반응형
저작자표시 비영리 동일조건

'Security > Cloud Computing' 카테고리의 다른 글

[AWS SAA-C03] AWS Secret Manager 정리  (1) 2023.05.14
[AWS SAA-C03] AWS Inspector 정리  (0) 2023.05.13
[AWS SAA-C03] AWS WAF 정리  (0) 2023.05.06
[AWS SAA-C03] AWS IAM Role 정리  (0) 2023.04.29
[AWS SAA-C03] AWS ALB 정리  (0) 2023.04.15
Security/Cloud Computing 관련 글
더 보기
댓글

티스토리툴바