AWS Shield는 AWS에서 실행되는 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스입니다. AWS Shield는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합을 제공하므로 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다. AWS Shield에는 두 계층- Standard 및 Advanced가 있습니다.
모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다. AWS Shield Standard는 가장 일반적이고 빈번하게 발생하며 웹 사이트 또는 애플리케이션을 목표로 하는 네트워크 및 전송 계층 DDoS 공격으로부터 보호합니다. AWS Shield Standard를 Amazon CloudFront 및 Amazon Route 53과 함께 사용하면, 모든 알려진 인프라(계층 3 및 4) 공격으로부터 가용성을 포괄적으로 보호할 수 있습니다.
Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront 및 Amazon Route 53 리소스에서 실행되는 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield Advanced를 구독하면 됩니다. AWS Shield Standard가 제공하는 네트워크 및 전송 계층 보호 이외에, AWS Shield Advanced는 정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 거의 실시간의 공격 가시성, 웹 애플리케이션 방화벽 AWS WAF와의 통합을 제공합니다. 또한 AWS Shield Advanced도 AWS DDoS Response Team(DRT)에 대한 24X7 액세스를 제공하며 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront 및 Amazon Route 53 요금에서 DDoS 관련 급증으로부터 보호합니다.
AWS Shield Advanced는 전 세계 모든 Amazon CloudFront 및 Amazon Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 Amazon CloudFront를 배포함으로써 전 세계 어디에서든 호스팅된 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon S3, Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB) 또는 AWS 외부의 사용자 지정 서버가 될 수 있습니다. 또한, 버지니아 북부, 오레곤, 아일랜드, 도쿄 및 캘리포니아 북부 리전에서는 탄력적 IP 또는 Elastic Load Balancing(ELB)에서 직접 AWS Shield Advanced를 활성화할 수 있습니다.
이점
원활한 통합 및 배포
AWS Shield Standard를 사용하면 AWS 리소스가 가장 빈번히 발생하는 일반적인 네트워크 및 전송 계층 DDoS 공격으로부터 자동으로 보호됩니다. 관리 콘솔 또는 API를 사용하여 보호하려는 탄력적 IP, Elastic Load Balancing(ELB), Amazon CloudFront 또는 Amazon Route 53 리소스에 대해 AWS Shield Advanced 보호를 활성화하는 것만으로 더 높은 수준의 보호를 실현할 수 있습니다.
사용자 지정 가능한 보호
비용 효율
AWS 고객은 자동으로 AWS Shield Standard를 통해 가장 일반적 DDoS 공격 중에 대해 네트워크 계층 보호를 제공받습니다. 이 보호는 추가 비용, 리소스 또는 시작 시간이 필요하지 않습니다. AWS Shield Advanced는 DDoS 공격으로 인한 EC2, Elastic Load Balancing(ELB), Amazon CloudFront 및 Amazon Route 53 사용량 급증으로 발생한 요금으로부터 보호해주는 기능인 AWS "DDoS 비용 보호"를 제공합니다.
새로운 소식
보호 사용 사례
웹 애플리케이션 및 API
Amazon CloudFront를 사용하는 경우, AWS Shield Standard는 자동으로 SYN floods, UDP floods 또는 다른 반사 공격과 같은 인프라 계층 공격으로부터 포괄적인 보호를 제공합니다. AWS Shield Standard의 상시 탐지 및 완화 시스템은 계층 3과 4의 악성 트래픽을 자동으로 스트럽하여 애플리케이션을 보호합니다. AWS Shield Standard에서 탐지한 인프라 계층 공격의 99% 이상이 Amazon CloudFront에서 공격이 발생한 후 1초 이내에 자동으로 완화됩니다.
Amazon CloudFront를 사용하여 DDoS 공격으로부터 동적 애플리케이션을 보호하는 방법에 대해 알아보십시오.
Slack에서 어떻게 Amazon CloudFront를 사용하여 DDoS 공격으로부터 보호하는지 알아보십시오.
정교한 대규모 DDoS 공격으로부터 추가적인 보호를 위해 Amazon CloudFront에 AWS Shield Advanced를 사용할 수도 있습니다. Shield Advanced를 사용하면 고객이 정교한 인프라 계층(계층 3 또는 4) 공격에 대해 트래픽 엔지니어링과 같은 추가 기법 등 필요한 완화 기능을 적용하는 AWS DDoS Response Team(DRT)에 24x7 액세스할 수 있습니다. 또한, AWS Shield Advanced는 HTTP floods와 같은 애플리케이션 계층 공격으로부터도 보호할 수 있습니다. AWS Shield Advanced의 상시 가동 기본 탐지 시스템은 고객의 정상 애플리케이션 트래픽을 기준선으로 하여 이상 현상을 모니터링합니다. AWS Shield Advanced에는 추가 비용 없이 AWS WAF가 포함되므로 애플리케이션 계층 완화 기능을 사용자 지정할 수 있습니다.
발표자:
Alex Graham, 선임 운영 엔지니어, Slack Technologies, Inc.
DNS
AWS Shield Standard는 추가 비용 없이 인프라 계층 DDoS 공격으로부터 Amazon Route 53 Hosted Zone을 자동으로 보호합니다. 여기에는 사용자의 DNS를 빈번하게 목표로 하는 반사 공격 또는 신플러드 공격이 포함됩니다. AWS Shield Standard는 헤더 유효성 검사 및 우선순위 기반 트래픽 성형과 같은 다양한 기술을 사용하여 이러한 DDoS 공격을 자동으로 완화합니다.
또한 AWS Shield Standard는 AWS DDoS Response Team에 대한 24x7 액세스를 통해 수동 개입이 필요한 심각한 상황에 대해서도 추가적인 보호를 제공합니다. 뿐만 아니라, AWS Shield Advanced는 Route 53 인프라 공격에 대한 가시성도 제공합니다.
Amazon Route 53 및 AWS Shield를 사용하여 DDoS 위험을 줄이는 방법에 대해 자세히 알아보십시오.
다른 애플리케이션(UDP 기반 애플리케이션 등)
TCP를 기반으로 하지 않는 다른 사용자 지정 애플리케이션(UDP, SIP 등)에서는 Amazon CloudFront 또는 Elastic Load Balancing과 같은 서비스를 사용할 수 없습니다. 이러한 경우에는 대개 인터넷이 연결된 Amazon EC2 인스턴스에서 직접 애플리케이션을 실행해야 합니다. 또한, AWS Shield Standard는 DNS 반사, NTP 반사, SSDP 반사 등 UDP 반사 공격과 같은 일반적인 인프라 계층(계층 3 및 4) DDoS 공격으로부터 Amazon EC2 인스턴스를 보호합니다. AWS Shield Standard는 잘 정의된 DDoS 공격 서명이 탐지되는 경우 자동으로 실행되는 우선순위 기반 트래픽 제어와 같은 다양한 기법을 사용합니다.
탄력적 IP 주소에 AWS Shield Advanced를 활성화함으로써 정교한 대규모 DDoS 공격으로부터 이러한 애플리케이션을 좀 더 안전하게 보호할 수 있습니다. AWS Shield Advanced의 향상된 DDoS 탐지 기능은 AWS 리소스 유형과 EC2 인스턴스 크기를 자동으로 탐지하여 사전에 정의된 적절한 완화 기능을 적용합니다. AWS Shield Advanced를 사용하면 고객이 24x7 AWS DDoS Response Team(DRT)에 요청하여 고유한 사용자 지정 완화 프로필을 생성할 수 있습니다. 또한, AWS Shield Advanced에서는 DDoS 공격 동안 모든 Amazon VPC 네트워크 액세스 제어 목록(ACL)을 AWS 네트워크 경계에 자동으로 적용함으로써 추가 대역폭에 대한 액세스를 제공하고 용량을 스크럽하여 대규모 볼륨의 DDoS 공격을 완화할 수 있습니다. AWS Shield Advanced는 SYN floods와 같은 DDoS 공격이나 UDP floods와 같은 다른 벡터로부터 추가적인 보호를 제공합니다.
탄력적 IP를 Amazon EC2 인스턴스에 연결하는 방법에 대해 자세히 알아보십시오.
AWS Shield에 대해 자세히 알아보기