aws DDoS
DDoS
- 고객은 커피숍에 전화를 걸어 주문할 수 있습니다. 계산원은 전화로 받은 줌누을 바리스타에게 전달합니다. 그런데 한 장난 꾸러기가 여러 번 전화를 걸어 주문을 했지만 한 번도 픽업하지 않았다고 가정해 보겠습니다. 이 때문에 계산원이 다른 고객의 전화를 받을 수 없습니다. 커피숍은 이 장난꾸러기가 사용하는 전화 번호를 차단하여 거짓 요청을 차단하려고 할 수 있습니다. 이 시나리오에서 장난꾸러기의 행동은 서비스 거부 공격과 유사합니다
서비스 거부 공격
- 서비스 거부(DoS) 공격은 사용자들이 웹 사이트 또는 애플리케이션을 이용할 수 없게 만들려는 의도적인 시도입니다.
예를 들어 공격자는 목표로 삼은 웹 사이트 또는 애플리케이션이 과부하가 걸려 더 이상 응답할 수 없을 때까지 웹 사이트 또는 애플리케이션을 과도한 네트워크 트래픽으로 플러드시킬 수 있습니다. 웹 사이트 또는 애플리케이션을 사용할 수 없게 되면 합법적인 요청을 시도하는 사용자에게 서비스를 거부합니다.
분산 서비스 거부(DDoS) 공격
- 장난꾸러기와 그 친구들은 픽업할 의사는 없지만 반복적으로 커피숍에 전화를 걸어 주문을 합니다. 이러한 요청은 서로 다른 전화번호로 들어오고 있으므로 커피숍에서 모든 전화번호를 차단하는 것은 불가능합니다. 또한 걸려 오는 전화가 증가했기 때문에 고객이 전화를 거는 것이 점점 더 어려워졌습니다. 이는 분산 서비스 거부 공격과 유사합니다.
분산 서비스 거부(DDoS) 공격에서는 여러 소스를 사용하여 웹 사이트 또는 애플리케이션을 사용할 수 없게 만드는 공격을 시작합니다. 공격자는 그룹일 수도 있고 심지어 한 명일 수도 있습니다. 단일 공격자는 감염된 여러 컴퓨터('봇'이라고도 함)를 사용하여 과도한 트래픽을 웹 사이트 또는 애플리케이션으로 전송할 수 있습니다.
DDoS로 부터 지켜주는 AWS 서비스
AWS Shield
- DDoS 공격으로부터 애플리케이션을 보호하는 서비스입니다. AWS Shield는 두 가지 보호 수준인 Standard 및 Advanced를 제공합니다.
Standard
- 모든 AWS 고객을 자동으로 보호하는 무료 서비스입니다. AWS 리소스를 가장 자주 발생하는 일반적인 DDoS 공격으로부터 보호합니다.
- 네트워크 트래픽이 애플리케이션으로 들어오면 AWS Shield Standard는 다양한 분석 기법을 사용하여 실시간으로 악성 트래픽을 탐지하고 자동으로 완화합니다.
Advanced
- 상세한 공격 진단 및 정교한 DDoS 공격을 탐지하고 완화할 수 있는 기능을 제공하는 유료 서비스입니다.
- Amazon CloudFront, Amazon Route 53, Elastic Load Balancing과 같은 다른 서비스와도 통합됩니다. 또한 복잡한 DDoS 공격을 완화하기 위한 사용자 지정 규칙을 작성하여 AWS Shield를 AWS WAF와 통합할 수 있습니다.
AWS KMS
- 커피숍에는 커피 머신, 쿠키, 금전 등록기 안의 돈 등 많은 물품이 있습니다. 이러한 물품을 데이터로 생각할 수 있습니다. 커피숍 점주는 창고에 보관되어 있거나 매장 위치 간에 운송되는 모든 물품이 안전하게 보호되기를 원합니다.
- 동일한 방법으로 저장 상태에서(저장 시 암호화) 그리고 전송되는 동안(전송 중 암호화) 애플리케이션의 데이터가 안전한지 확인해야 합니다.
- AWS KMS를 사용하면 암호화 키를 사용하여 암호 작업을 수행할 수 있습니다. 암화화 키는 데이터 잠금 및 잠금 해제에 사용되는 임의의 숫자 문자열입니다. AWS KMS를 사용하여 암호화 키를 생성, 관리 및 사용할 수 있습니다. 또한 광범위한 서비스 및 애플리케이션에서 키 사용을 제어할 수 있습니다.
- AWS KMS를 사용하면 키에 필요한 액세스 제어를 특정 수준으로 선택할 수 있습니다. 예를 들어 키를 관리할 수 있는 IAM 사용자 및 역하를 지정할 수 있습니다. 또는 더 이상 사용되지 않도록 일시적으로 키를 비활성화할 수 있습니다. 키는 AWS KMS를 벗어나지 않으며, 사용자가 항상 키를 제어할 수있습니다.
AWS WAF
- 웹 애플리케이션으로 들어오는 네트워크 요청을 모니터링할 수 있는 웹 애플리케이셔 방화벽입니다.
- AWS WAF는 Amazon CloudFront 및 Application Load Balancer와 함께 작동합니다. WAF는 비슷한 방식으로 작동하여 트래픽을 차단하거나 허용합니다. 그러나 AWS 리소스를 보호하기 위해 웹 ACL(액세스 제어 목록)을 사용합니다.
애플리케이션이 여러 IP 주소에서 악의전인 네트워크 요청을 받고 있다고 가정해 보겠습니다. 이러한 요청이 애플리케이션에 계속 액세스하는 것을 방지해야 하지만 합법적인 사용자는 여전히 애플리케이션에 액세스할 수 있도록 해야합니다.
지정한 IP 주소에서 나온 요청을 제외한 모든 요청을 허용하도록 웹 ACL을 구성합니다.
- WAF는 요청이 들어오면 웹 ACL에서 구성한 규칙 목록을 확인합니다. 요청이 차단된 IP 주소 중 하나에서 나온 것이 아니면 애플리케이션에 대한 액세스가 허용됩니다.
그러나 웹 ACL에서 지정한 차단 IP 주소 중 하나에서 요청이 나왔으면 액세스가 거부됩니다.
Amazon Inspector
- 커피숍이 개발자들이 새로운 주문 애플리케이션을 개발하고 테스트한다고 가정해 보겠습니다. 이들은 보안 모범 사례에 따라 애플리케이션을 디자인하고 있는지 확인하기를 원합니다. 그러나 개발해야 할 다른 여러 애플리케이션이 있으므로 수동 평가를 수행하는 데 많은 시간을 할애할 수 없습니다. 개발자들은 자동 보안 평가를 수행하기 위해 Amazon Inspector를 사용하기로 결정했습니
- 자동화된 보안 평가를 실행하여 애플리케이션의 보안 및 규정 준수를 개선할 수 있는 서비스입니다. 이 서비스는 Amazon EC2 인스턴스에 대한 오픈 액세스, 취약한 소프트웨어 버전 설치와 같은 보안 모범 사례 위반 및 보안 취약성을 애플리케이션에서 검사합니다.
- Amazon Inspector는 평가를 수행한 후에 보안 탐지 결과 목록을 제공합니다. 이 목록은 심각도 수준에 따라 우선 순위가 결정되고 각 보안 문제에 대한 자세한 설명 및 권장 해결 방법이 포함됩니다. 그러나 AWS는 제공된 권장 사항으로 모든 잠재적 보안 문제가 해결됨을 보장하지 않습니다. 공동 책임 모델에 따라 고객은 AWS 서비스에서 실행되는 애플리케이션, 프로세스 및 도구의 보안에 대한 책임이 있습니다.
Amazon GuardDuty
Amazon GuardDuty는 AWS 인프라 및 리소스에 대한 지능형 위협 탐지 기능을 제공하는 서비스입니다. 이 서비스는 AWS 환경 내의 네트워크 활동 및 계정 동작을 지속적으로 모니터링하여 위협을 식별합니다.
- AWS 계정에서 GuardDuty를 활성화하면 GuardDuty가 네트워크 및 계정 활동을 모니터링하기 시작합니다. 추가 보안 소프트웨어를 배포하거나 관리할 필요가 없습니다. 그런 다음 GuardDuty는 VPC Flow Logs 및 DNS 로그를 비롯한 여러 AWS 소스의 데이터를 지속적으로 분석합니다.
- GuardDuty가 위협을 탐지한 경우 AWS Management Console에서 위협에 대한 자세한 탐지 결과를 검토할 수 있습니다. 탐지 결과에는 문제 해결을 위한 권장 단계가 포함됩니다. 또한 GuardDuty 보안 탐지 결과에 대한 응답으로 자동으로 문제 해결 단계를 수행하도록 AWS Lambda 함수를 구성할 수도 있습니다.