반응형
Shield
- 분산 서비스 거부 공격(DDoS)으로부터 웹 애플리케이션을 보호하는 서비스
- 분산 서비스 거부 공격 : 다수의 좀비 PC를 이용하여 무의미한 서비스 요청을 서버에 퍼부어 기능을 마비시키는 공격
- 네트워크 및 전송 계층(Layer 3, Layer 4)과 응용 프로그램 계층(Layer 7)의 리소스에 대한 DDoS 공격 보호
- Shield Standard와 Shield Advanced, 2가지 유형이 존재함
- Shield Standard는 기본적으로 적용되는 서비스로 설정을 하지 않아도 AWS 서비스에 활성화되어 있음
- Shield Advanced는 추가 비용을 내고 추가적인 서비스를 제공받는 것으로 L7 트래픽 모니터링, 사후 분석 등의 기능을 제공함
- EC2, ELB, Cloudfront, Global Accelerator, Route 53와 연동된 애플리케이션에 대한 추가적인 보호 가능
- Cloudfront와 연동 가능하기에 Cloudfront의 Origin이라면 Origin이 AWS의 서비스가 아니더라도 보호 가능
Web Application Firewall(WAF)
- AWS의 웹방화벽 서비스
- 웹방화벽으로서 Cloudfront와 ALB를 통해 서비스를 제공함(ALB와 Cloudfront를 직접 지정하여 웹방화벽 서비스를 제공)
- 웹방화벽 : 방화벽이 Layer 3 / 4의 방어(IP와 Port 차단)을 이용한다면 웹방화벽은 Layer 7(HTTP 헤더, HTTP 본문, URI 문자열, SQL 명령어, 스크립팅)을 이용한 공격을 방어
- 다양한 종류의 웹 공격에 대한 정보를 지닌 Rule을 선택하여 활성화하거나, 특정 IP의 웹 요청을 막을 수 있음
Network Firewall
- AWS VPC 내에서 사용 가능한 방화벽 서비스
- IP, Port, 프로토콜, 도메인을 활용하여 허용 / 차단 가능
- Network Firewall은 상태 저장 규칙 엔진과 상태 비저장 규칙 엔진을 통해 패킷을 검사
- 상태 저장 규칙 엔진 : 방화벽을 통과한 패킷에 대해 상태를 기억하고 반대 방향으로의 통과를 허용해주는 엔진
- 상태 비저장 규칙 엔진 : 방화벽 통과 여부와 상관없이 In / Out 패킷에 대해 모두 검사하는 엔진
- 관리형 규칙 그룹 : AWS가 직접 관리하고 업데이트하는 규칙으로 사용자가 설정 방화벽 정책 이외에 자동으로 적용되는 규칙
- 오픈소스 IPS인 Suricata 사용 가능
반응형
'Amazon Web Serivce 자격증 쉽게 공부하기 > AWS Solutions Architect Associate 핵심' 카테고리의 다른 글
SAA-C03 핵심 #34, Global Accelerator (0) | 2024.01.23 |
---|---|
SAA-C03 핵심 #33, ACM (0) | 2024.01.22 |
SAA-C03 핵심 #32, Cognito (0) | 2024.01.22 |
SAA-C03 핵심 #31, Redshift & Athena (0) | 2024.01.22 |
SAA-C03 핵심 #30, API Gateway (0) | 2024.01.19 |
댓글