Shield 사용 목적
Shield는 DDoS 공격으로부터 AWS 어플리케이션을 보호한다.
AWS Shield는 standard와 advanced로 나뉘는데 shield standard는 AWS에서 애플리케이션 리소스(EC2, ELB, CloudFront, Route 53)가 실행되면 무료로 작동한다. 뿐만 아니라, Shield는 DDoS 이벤트에 대해 아래와 같이 좀 더 가시적으로 명확하고 이해하기 쉽게 보여준다.
Shield Standard는 웹 사이트나 애플리케이션을 대상으로 가장 흔하고, 자주 발생하는 네트워크 및 전송 계층(IP 계층 & TCP/UDP 계층) DDoS 공격을 방어한다.
Shield Advanced는 3계층부터 http 프로토콜 계층인 7계층까지의 DDoS 공격을 커버하고, 애플리케이션 계층(http 계층)에 대한 공격을 자동으로 대응하도록 할 수 있다. 7계층을 커버하는 특성상 WAF와 역할이 겹치면서 WAF와 통합될 수 있다. Route 53 상태 확인을 사용해 이벤트를 탐지해 탐지의 오작동을 완화하고 더 빠른 탐지가 가능하게 됩니다. 그리고 탐지를 바탕으로 정상화 또는 비정상화 여부를 경보로 알려줍니다. 마지막으로 DDoS 공격이 발생했을 때 SRT라는 AWS DDoS 대응팀의 도움을 받을 수 있습니다. Shield Advanced는 연간 구독을 해야하고 월 3000 달러의 기본 비용이 발생합니다. 여기에 추가적으로 리소스 별로 Shield Advanced를 거치는 데이터 전송 사용료를 지불하게 됩니다.
WAF(Web Application FIrewall)
WAF는 Shield보다 상위 레벨에서의 서비스를 제공합니다. 사용자의 어플리케이션이나 API를 SQL 주입, XSS(악성 스크립트 삽입)과 같은 일반적인 위협으로부터 보호한다. Shield와는 다르게 WAF는 사용하기 위해 별도로 켜줘야 한다.
보안 강화를 위해 Shield Standard를 무료로 사용하면서 WAF를 켜주면 넓은 영역의 계층이 커버된다.
'Cloud 관련 지식' 카테고리의 다른 글
| AWS VPC 및 SubNet 구축 실습 (0) | 2023.06.26 |
|---|---|
| Dockerfile, Docker-compose (0) | 2023.04.13 |
| AWS ECS (0) | 2023.01.20 |
