일반

AWS Shield는 AWS에서 실행되는 웹 애플리케이션을 DDoS(Distributed Denial of Service) 공격으로부터 보호하는 관리형 서비스입니다. AWS Shield Standard는 추가 비용 없이 모든 AWS 고객에게 자동으로 활성화됩니다. AWS Shield Advanced는 선택이 가능한 유료 서비스입니다. AWS Shield Advanced는 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Route 53에서 실행되는 애플리케이션을 목표로 하는 더 정교하고 더 큰 규모의 공격에 대해 추가적인 보호를 제공합니다.

AWS Shield Standard는 AWS에서 애플리케이션의 고가용성을 지원하기 위해 SYN/UDP floods, 반사 공격과 같은 일반적이고 가장 빈번히 발생하는 인프라(계층 3 및 4) 공격으로부터 모든 AWS 고객을 보호합니다.

AWS Shield Advanced는 보호 대상인 Amazon EC2, Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Route 53에서 실행되는 애플리케이션을 목표로 하는 더 정교하고 더 큰 규모의 공격에 대해 강화된 보호를 제공합니다. AWS Shield Advanced 보호는 네트워크 트래픽에 대한 상시 작동, 흐름 기반 모니터링과 적극적인 애플리케이션 모니터링을 통해 의심되는 DDoS 공격에 대한 거의 실시간 알림을 제공합니다. 또한 AWS Shield Advanced는 공격을 자동으로 완화하기 위해 첨단 공격 완화 및 라우팅 기법을 적용합니다. Business 또는 Enterprise 지원 고객은 연중무휴 24시간 Shield Response Team(SRT)과 협력하여 애플리케이션 계층 DDoS 공격을 관리 및 완화할 수 있습니다. 확장에 대한 DDoS 비용 보호 기능은 DDoS 공격으로 인해 보호 대상인 Amazon EC2, Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53의 사용량이 급증하면서 발생한 요금으로부터 고객의 AWS 청구서를 보호합니다.

AWS Shield Advanced에는 DDoS 공격으로 인해 보호 대상인 Amazon EC2, Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 또는 Amazon Route 53의 사용량 급증으로 발생한 요금으로부터 보호해주는 DDoS 비용 보호 기능이 포함되어 있습니다. DDoS 공격에 대한 대응으로 AWS Shield Advanced 보호 대상 리소스가 확장될 경우, 일반 AWS Support 채널을 통해 크레딧을 요청할 수 있습니다.

예. AWS Shieldsms Amazon CloudFront와 통합되어 있으므로 AWS 외부의 사용자 지정 오리진도 지원합니다.

예. AWS Shield의 모든 탐지 및 완화 기능이 IPv6와 IPv4에서 작동하며 서비스의 성능, 확장성 또는 가용성에 별다른 영향을 주지 않습니다.

AWS 이용 정책에는 AWS에서 허용되는 행동 및 금지되는 행동이 설명되어 있으며 금지된 보안 위반 및 네트워크 침해에 대한 설명도 포함되어 있습니다. 하지만 DDoS 시뮬레이션 테스트, 침투 테스트 및 기타 시뮬레이션된 이벤트가 이러한 활동과 구별되지 않는 경우가 많으므로, AWS에서는 고객이 DDoS 테스트, 침투 테스트 및 취약성 검사 수행 시 승인을 요청하도록 정책을 수립했습니다. 자세한 내용은 침투 테스트 페이지DDoS 시뮬레이션 테스트 정책을 참조하세요.

AWS Shield Standard는 전 세계 모든 AWS 리전과 AWS 엣지 로케이션의 모든 AWS 서비스에서 사용할 수 있습니다.

AWS Shield Standard의 리전별 가용성에 대한 자세한 내용은 리전별 제품 및 서비스를 참조하세요.

AWS Shield Advanced는 전 세계 모든 Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 Amazon CloudFront를 배포함으로써 전 세계 모든 위치에서 호스트되는 웹 애플리케이션을 보호할 수 있습니다. 오리진 서버는 Amazon Simple Storage Service(S3), Amazon EC2, Elastic Load Balancing 또는 AWS 외부의 사용자 지정 서버가 될 수 있습니다. 또한 버지니아 북부, 오하이오, 오레곤, 캘리포니아 북부, 몬트리올, 상파울루, 아일랜드, 프랑크프루트, 런던, 파리, 스톡홀름, 싱가포르, 도쿄, 시드니, 서울, 뭄바이, 밀라노, 케이프타운, 홍콩, 바레인, 말레이시아 및 UAE와 같은 AWS 리전에서는 Elastic Load Balancing 또는 Amazon EC2에서 직접 AWS Shield Advanced를 활성화할 수 있습니다.

AWS Shield Advanced의 리전별 가용성에 대한 최신 정보는 리전별 제품 및 서비스 페이지를 참조하세요.

예. AWS는 AWS Shield를 HIPAA 적격 서비스로 포함하도록 HIPAA 규정 준수 프로그램을 확장했습니다. AWS와 Business Associate Agreement(BAA)를 체결한 경우 AWS Shield를 사용하여 분산 서비스 거부(DDoS) 공격으로부터 AWS에서 실행하는 웹 애플리케이션을 보호할 수 있습니다. 자세한 내용은 HIPAA 규정 준수를 참조하세요.

구성 보호

AWS Shield Standard는 가장 일반적이고 빈번히 발생하는 인프라 계층 공격(UDP floods 등)과 상태 고갈 공격(TCP SYN floods 등)으로부터 AWS에서 실행되는 웹 애플리케이션을 자동으로 보호합니다. 또한, 고객은 AWS WAF를 사용하여 HTTP POST 또는 GET floods와 같은 애플리케이션 계층 공격으로부터 보호할 수 있습니다. 애플리케이션 계층 보호를 배포하는 방법에 대한 자세한 내용은 AWS WAF 및 AWS Shield Advanced 개발자 안내서를 참조하세요.

AWS Shield Standard 보호에 사용되는 리소스 수에 대한 제한은 없습니다. AWS의 DDoS 복원력 모범 사례를 따라 하면 AWS Shield Standard 보호 서비스를 최대한 활용할 수 있습니다.

Classic/Application Load Balancer, Amazon CloudFront 배포, Amazon Route 53 호스팅 영역, 탄력적 IP, AWS Global Accelerator 액셀러레이터와 같은 지원되는 리소스 유형별로 최대 1000개의 AWS 리소스에 AWS Shield Advanced 보호 기능을 사용할 수 있습니다. 1,000개를 초과하여 사용하려는 경우 AWS Support 사례를 생성하여 한도 증가를 요청할 수 있습니다.

예. AWS Shield Advanced는 API를 통해 활성화할 수 있습니다. 또한, API를 통해 AWS Shield Advanced 보호에 AWS 리소스를 추가하거나 제거할 수 있습니다.

일반적으로 AWS Shield에서 탐지하는 인프라 계층 공격의 99%가 Amazon CloudFront 및 Amazon Route 53에 대한 공격의 경우 1초 이내에, 그리고 Elastic Load Balancing에 대한 공격의 5분 이내에 완화됩니다. 나머지 1%의 인프라 공격은 일반적으로 20분 이내에 완화됩니다. 애플리케이션 계층 공격은 AWS WAF를 사용해 규칙을 작성함으로써 완화할 수 있습니다. 이 규칙으로 수신되는 트래픽을 검사하여 공격을 완화합니다.

예, 많은 고객이 백엔드 인스턴스 전면에 AWS 엔드포인트를 사용합니다. 가장 일반적으로 이러한 엔드포인트는 CloudFront 및 Route 53의 글로벌로 분산된 서비스입니다. 이러한 서비스는 또한 DDoS 복원력에 대한 모범 사례 제안입니다. 고객은 Shield Advanced를 통해 이러한 CloudFront 배포 및 Route 53 호스팅 영역을 보호할 수 있습니다. 이러한 AWS 엔드포인트에서의 트래픽만을 허용하여 백엔드 리소스를 잠가야 합니다.

공격에 대응

AWS Shield Standard는 가장 일반적이고 빈번하게 발생하는 DDoS 공격으로부터 AWS에서 실행되는 웹 애플리케이션을 자동으로 보호합니다. AWS에서의 DDoS 복원력 모범 사례를 따라 하면 AWS Shield Standard를 최대한 활용할 수 있습니다.

AWS Shield Advanced는 계층 3과 계층 4 DDoS 공격의 완화 작업을 관리합니다. 다시 말해 지정한 애플리케이션을 UDP Floods 또는 TCP SYN floods와 같은 공격으로부터 보호합니다. 또한, 애플리케이션 계층(계층 7) 공격의 경우, AWS Shield Advanced는 HTTP 플러드 및 DNS 플러드와 같은 공격을 감지할 수 있습니다. AWS WAF를 사용하여 자체 완화 기능을 적용하거나, Business 또는 Enterprise Support를 사용하는 경우 사용자를 대신하여 규칙을 작성할 수 있는 연중무휴 24시간 AWS Shield Response Team(SRT)과 협력하여 계층 7 DDoS 공격을 완화할 수 있습니다.

예, AWS Shield Response Team(SRT)으로 에스컬레이션하거나 팀의 도움을 받으려면 Business 또는 Enterprise 지원 플랜이 필요합니다. AWS Support 플랜에 대한 자세한 내용은 AWS Support 웹 사이트를 참조하세요.

일반적인 AWS 지원을 통하거나 AWS Support에 문의하여 AWS Shield Response Team(SRT)과 협력할 수 있습니다.

SRT의 응답 시간은 고객이 구독한 AWS Support 플랜에 따라 다릅니다. AWS에서는 해당하는 시간 이내에 초기 요청에 응답하기 위해 최선을 다하고 있습니다. AWS Support 플랜에 대한 자세한 내용은 AWS Support 웹 사이트를 참조하세요.

가시성 및 보고

예. AWS Shield Advanced에서는 CloudWatch 지표를 통해 DDoS 공격에 대한 알림을 받게 됩니다.

일반적으로 AWS Shield Advanced는 공격 탐지 후 몇 분 이내에 공격 알림을 제공합니다.

예. AWS Shield Advanced에서는 지난 13개월간의 모든 인시던트 기록을 볼 수 있습니다.

AWS WAF에는 웹 사이트가 어떻게 보호되고 있는지 확인할 수 있는 2가지 방법이 있습니다. CloudWatch에서 제공하는 1분 지표와 AWS WAF API 또는 AWS 관리 콘솔에서 제공하는 샘플링된 웹 요청을 확인하면 됩니다. 또한 Amazon Kinesis Firehose를 통해 선택한 대상에 전달되는 포괄적인 로그를 사용할 수 있습니다. 이를 통해 차단, 허용 또는 계수된 요청이 무엇인지, 그리고 해당 요청과 일치하는 규칙은 무엇인지 볼 수 있습니다(예: 이 웹 요청은 IP 주소 조건으로 인해 차단됨). 자세한 내용은 AWS WAF 및 AWS Shield Advanced 개발자 안내서를 참조하세요.

결제

AWS Shield Standard는 현재 고객의 웹 애플리케이션에서 사용하는 AWS 서비스에 내장되어 있습니다. AWS Shield Standard는 추가 비용 없이 사용할 수 있습니다.

AWS Shield Advanced에서는 조직당 3,000 USD의 월별 요금을 지불합니다. 또한, 강화된 보호 기능을 위해 활성화된 AWS 리소스에 대해 AWS Shield Advanced 데이터 전송 요금도 지불합니다. AWS Shield Advanced 요금은 Amazon EC2, Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53의 표준 요금에 추가로 부과됩니다. 자세한 내용은 AWS Shield 요금 페이지를 참조하세요.