보안 & 자격 증명 및 규정 준수
목차
CloudWatch
AWS 클라우드 리소스와 AWS에서 실행되는 애플리케이션을 위한 모니터링 서비스
- 지표 수집 및 추적
- 로그 파일 수집 및 모니터링
- 경보 설정
- 시스템 전반의 리소스 사용률, 애플리케이션 성능, 운영 상태 파악
- 자동 대시보드 사용
- 1초 데이터 포인트
:heavy_check_mark: POINT
- 여러 앱 및 인프라에서 단일 플랫폼 기반 관찰 가능
- 마이크로 서비스 아키텍처에서 실행되는 앱과 같은 최신 앱은 지표, 로그, 이벤트의 양식으로 대량 데이터 생성
- 온프레미스 서버에서 실행되는 모든 aws 리소스, 앱, 서비스에서 단일 플랫폼에 기반하여 데이터 수집, 액세스 및 상관, 데이터 사일로 극복, 쉽게 시스템 전체에 대한 가시성 확보
- 마이크로 서비스 아키텍처에서 실행되는 앱과 같은 최신 앱은 지표, 로그, 이벤트의 양식으로 대량 데이터 생성
- AWS 및 온프레미스에서 지표를 수집하는 가장 쉬운 방법
- AWS 서비스와 기본적으로 통합
- 운영 성능 및 리소스 최적화 개선
- 운영 가시성 및 통찰력 확보
- 로그에서 실행 가능한 통찰력 확보
액세스
- API
- 명령줄 인터페이스
- AWS SDK 및 AWS Management Console
액세스 관리 정책
AWS 계정을 가진 사용자가 수행할 수 있는 CloudWatch 작업을 지정할 수 있도록 IAM과 통합
- 특정 리소스의 CloudWatch 데이터에 대한 액세스 제어 시 IAM 사용 :x:
- 특정 인스턴스 세트 또는 특정 LoadBalancer에 대한 CloudWatch 데이터에 대해서만 사용자 액세스 권한 부여 :x:
- IAM을 통해 부여된 권한은 CloudWatch에 사용하는 클라우드 리소스 전체에 적용
- IAM 역할은 Amazon CloudWatch 명령줄 도구와 함께 사용 :x:
Amazon CloudWatch Logs
기존 시스템, 애플리케이션 및 사용자 정의 로그 파일을 이용해 시스템 및 애플리케이션 모니터링 & 문제 해결
- 특정 구문, 값, 패턴에 대한 로그를 실시간 모니터링
- 로그 데이터
- 안정성이 높음
- 저렴한 스토리지에 무기한 저장 및 액세스 가능
작업 수행
- 로그를 모니터링하고 저장 :point_right: 시스템 및 애플리케이션을 이해하고 운영하는 데 도움
:exclamation: 실시간 애플리케이션 및 시스템 모니터링
- 로그 데이터를 이용해 애플리케이션과 시스템 모니터링
- 오류 비율이 임계값 초과 시 알림 전송
- 코드 변경:x:
:exclamation: 로그 장기 보존
- 하드 드라이브 용량 걱정 :x:
- 내구성이 뛰어나고 비용 효율적인 스토리지에 무기한으로 저장 가능 :o:
- CloudWatch 로그 에이전트
- 순환 로그 파일, 비순환 로그 파일 모두 호스트에서 로그 서비스로 쉽고 빠르게 이동
- 원시 로그 이벤트 데이터에 엑세스 :o:
:globe_with_meridians: CloudWatch Logs Agent
- 호스트의 개별 로그 파일 모니터링 하는 기능
지원 IAM 역할
- IAM과 통합
- 액세스 키와 IAM 역할 모두 지원
:globe_with_meridians: Amazon CloudWatch Logs Insights
CloudWatch Logs를 위한 통합된 인터랙티브 로그 분석 기능
- 사용량에 따라 비용 지불
- 로그 검색 및 시각화, 애플리케이션 이해, 개선, 디버그
- CloudWatch에 통합
- 로그 관리
- 탐색
- 분석
- Logs, CloudsWatch Metrics, Alarms, 대시보드 활용 :point_right: 시각적 운영
- 통찰 도출
- 집계, 필터, 정규 표현식으로 쿼리 작성
시작
- 설정이나 인프라 관리 :x:
- Management Console에서 Logs Insights에 엑세스
- AWS SDK 사용하여 애플리케잇녀을 통해 프로그래밍 방식으로 액세스
CloudWatch 이상 탐지
기계 학습 알고리즘을 적용하여 시스템 및 애플리케이션의 단일 시계열을 지속적으로 분석, 정상적인 기준 파악, 최소한의 사용자 개입으로 이상 항목을 드러냄
- 시간, 요일 기반 계절성, 변화하는 추세와 같은 자연적인 지표 패턴을 기반으로 임계값을 자동 조정하는 경보 생성
- 이상 탐지 반대를 사용하여 지표 시각화 :point_right: 예기치 않은 지표 변화 모니터링, 격리 및 문제 해결
:globe_with_meridians: Amazon CloudWatch Contributor Insights
시계열 데이터를 분석하여 시스템 성능에 가장 큰 영향을 미치는 요소를 보여줌
- 추가적인 사용자 개입 없이 연속으로 실행
- 운영 이벤트 발생 시, 개발자와 운영자가 신속하게 문제를 분리하여 진단, 복구
시작
- CloudWatch 콘솔의 탐색 창에서 Contributor Insights로 이동 :point_right: Contributor Insights 규칙 생성
- 템플릿 사용
:globe_with_meridians: Amazon CloudWatch ServiceLens
애플리케이션의 상태, 성능 및 가용성을 한 곳에서 시각화하고 분석할 수 있는 새로운 기능
- CloudWatch 지표 및 로그
- AWS X-Ray의 트레이스와 결합
- 포괄적인 애플리케이션 및 애플리케이션 종속성 정보 제공
- 성능 병목 현상 신속하게 포착
- 애플리케이션 문제의 근본 원인 확인
- 영향을 받는 사용자 파악
- 인프라 모니터링, 트랜잭션 모니터링, 최종 사용자 모니터링 :point_right: 세가지 주요 영역 애플리케이션 심층 분석
시작
- X-Ray: 기본적으로 CloudWatch 콘솔에서 액세스 가능
- X-Ray :x:
- X-Ray SDK 사용 :point_right: 애플리케이션에 AWS X-Ray 활성화 후 시작
:globe_with_meridians: Amazon CloudWatch Synthetics
애플리케이션 엔드포인트를 보다 쉽게 모니터링
-
1분마다 엔드포인트 검사 실행
애플리케이션 엔드포인트가 예상과 다른 동작 시 즉시알림
-
맞춤 설정
-
문제 있는 애플리케이션 엔드포인트 분리 :point_right: 기본 인프라 문제로 다시 매핑
Config
AWS 리소스 인벤토리, 구성 기록, 구성 변경 알림 제공하여 보안 및 거버넌스 실현하는 완벽 관리형 서비스
- AWS 리소스 찾기
- 모든 세부 구성 정보가 포함된 AWS 리소스의 완전한 인벤토리 내보내기
- 특정 시점에 따른 리소스의 구성 방법 정하기
- 규정 준수 감사, 보안 분석, 리소스 변경 추적, 문제 해결 수행
:heavy_check_mark: POINT
- 지속적 모니터링
- AWS 리소스 구성 변경 사항을 지속적으로 모니터링하고 기록
- AWS 리소스 목록, 구성, 특정 시점의 EC2 인스턴스 내에 소프퉤어 구성
- 이전 상태에서 변경 사항이 탐지됨녀 사용자가 검토하고 조치를 취할 수 있도록 SNS 알림 전송
- 지속적인 평가
- AWS 리소스 구성의 전반적인 규정 준수 여부 지속적으로 감사하고 평가
- AWS 리소스 프로비저닝 및 구성에 대한 규칙 정의 & 배포
- 변경 관리
- 운영 문제 해결
- 엔터프라이즈 전체에서 규정 준수 모니터링
- 타사 리소스 지원
규칙
- 원하는 리소스 구성
- AWS Config에서 기록한 관련 리소스의 구성 변경과 비교하여 평가
- 대시보드에서 결과 확인
- 평가
- 전반적인 규칙 준수 및 위험 상태
- 시간에 따른 규칙 준수 추세 확인
- 리소스의 규칙 미준수를 초래한 구성 변경 파악
적합성 팩
AWS Config의 공통 프레임 워크 및 패키징 모델을 사용하여 구축된 구성 규칙 및 수정 조치 모음
- Config 아티팩트를 패키징하면 여러 계정 및 리전에서 거버넌스 정책 및 구성 규칙 준수의 배포 및 보고 특징을 단순화
- 자원 규칙 미준수 상태 시간 감소
이점
- 초기 투자 없이 리소스 구성 추적
- 데이터 수집/관리 간단
- AWS 리소스와 연관된 모든 구성 속성에 대해 지속적으로 업데이트된 세부 정보 볼 수 있음
사용자
리소스 구성을 지속적으로 평가하여 AWS 보안 및 거버넌스 상태를 개선하고자 하는 AWS 고객
- Config Rules 체계화
- 대규모 조직 관리자
- 사용자 자체적으로 거버넌스 실현
- 취약성을 찾기 위한 사용 활동과 구성 모니터링하는 정보 보안 전문가
- 리소스 구서으이 변경 사항 추적, 구성 질문, 규정 준수 입증, 문제 해결 및 보안 분석
규칙 미준수
Config 규칙 및 적합성 팩: 리소스가 고객이 지정한 구성 규칙을 준수하는지에 관한 정보 제공
- 규칙 구성 방법
- Config 규칙 리소스 구성 평가/구성 변경 감지 시 리소스 구성 평가
- 사용자 규칙 위반, 규칙 준수 보장 :point_right: 차단:x:
규칙 평가
- Config Rules
- AWS Config에서 리소스에 대한 구성 항목(CI)을 기록한 후에 규칙 평가
- 리소스 프로비저닝 하기 전/리소스에 대한 구성 변경 완료 전 :point_right: 규칙 평가 :x:
AWS CloudTrail
-
:globe_with_meridians: AWS CloudTrail
사용자 API 활동 기록, 활동에 대한 정보 액세스 허용
호출자 자격 증명, API 호출 시간, 요청 파라미터, AWS 서비스에서 반환한 응답 요소 :point_right: 전체 세부 정보 가져옴
- API를 호출하여 리소스를 수정한 사람 :o:
-
AWS Config
- AWS 리소스에 대한 특정 시점 구성 세부 정보를 구성 항목(CI)로 기록
- CI 사용 시, 특정 시점에 AWS 리소스 형태 :o:
중앙 계정
- 여러 계정 및 리전의 규정 준수 정보 모니터링
- 다중 계정 다중 리전 데이터 집계 기능 :point_right: 간편 상태 모니터링
ServiceNow 인스턴스와 Jira Service Desk 인스턴스
-
사용자가 ServiceNow 및 Jira Service Desk를 통해 AWS 리소스 관리/운영 :o:
- 사용자가 간단하게 AWS 제품 요청 작업 실행
- 관리자 AWS 제품에 대한 거버넌스 제어/감독
Config Rules
리소스 구성
AWS Config의 구성 항목(CI)에 포함된 데이터에 의해 정의
- 최초 릴리스를 사용하면 관련 규칙에서 리소스에 대한 CI 사용
- 다른 연결된 리소스, 업무 시간 등 정보를 사용하여 리소스의 구성 규정 준수 평가
규칙
리소스에 대한 원하는 구성 항목의 속성 값
Config에서 기록한 CI와 비교하여 규칙 평가
- AWS 관리형 규칙
- AWS에서 사전에 구축하고 관리
- 규칙 선택 후 몇 가지 구성 파라미터 제공
- 자동으로 업데이트 적용
- 고객 관리형 규칙
- 사용자 정의 규칙
- Lambda에서 사용자 지정 규칙의 일부 호출 함수 생성
- 전체 복사본 보유, 게정 내 규칙 실행
- 최대 150개
생성
- AWS 계정 관리자 설정
평가
특정 시점에 리소스가 규칙을 준수하는지 확인
규칙을 리소스 구성과 비교하여 평가한 결과
-
변경으로 트리거되는 규칙
-
지정된 리소스에 대한 구성 변경을 AWS Config가 기록할 때 실행
-
태그 키
지정된 태그 키:값을 갖는 리소스에 대한 구성 변경이 기록될 때 규칙 평가가 트리거 되는 것을 의미
-
리소스 유형
지정된 리소스 유형에 해당하는 리소스에 대한 구성 변경 기록될 때 규칙 평가 트리거
-
리소스 ID
리소스 유형 및 리소스 ID에서 지정한 리소스에 대한 구성 변경이 기록될 때 규칙 평가 트리거
-
-
-
주기적인 규칙
- 지정된 주기에 따라 트리거
- 1, 3, 6, 12, 24 시간 주기 사용 가능
- 모든 리소스에 대한 현재 구성 항목(CI)의 전체 스냅샷 포함
규칙 준수
리소스가 리시소스에 적용되는 모든 규칙을 준수하는 경우 :point_right: 리소스가 규칙 준수
대시 보드
- AWS Config에서 추적한 리소스의 개요와 리소스 및 규칙의 현재 준수 상태에 대한 요약을 제공
- 리소스 규칙 준수 요약 정보를 사용해 리소스의 Config 타임 라인 보기를 자세히 살펴봄
- 변경된 구성 파라미터 확인
적합성 팩
여러 계정을 관리할 때 규정 준수 관리 및 대규모 보고를 단순화하기 위한 것
팩 수준에서 종합적인 규정 준수 보고 기능 및 불변성을 제공하도록 설계
사용
- 전체 조직에 배포할 수 있는 단일 개체에 대한 수정 조치와 함께 패키징 규칙의 추가적 이점 제공
- 개별 AWS Config 규칙을 사용하여 하나 이상의 계정에서 리소스 구성 규칙 준수 평가
- 개별 멤버 계정으로 수정, 삭제 불가능
- CLI, Console을 통해 샘플 템플릿 중 하나를 사용하여 적합성 팩 생성 :point_right: YAML로 작성
Security Hub
보안 및 규정 준수 상태 관리를 서비스 형태로 제공하는 보안 및 규정 준수 서비스
- Config 규칙을 기본 매커니즘으로 하여 AWS 리소스의 구성 평가
- 리소스 구성을 직접 평가하는 데 사용
사용
- PCI DSS와 같은 규정 준수 표준 존재
- 완전관리형 AWS Security Hub 서비스가 표준을 운용하는 데 가장 쉬움
- Detective와 Security Hub의 통합을 통해 결과
- EventBridge와 Security Hub의 통합을 사용해 자동화/반자동화 방식의 수정 조치 구성
- :-1: 보안, 운용, 비용 최적화 확인을 포함할 수 있는 자체 규정 준수/보안 표준 결합하려는 경우 Config 적합성 팩 적합
Config 적합성 팩
- Config 규칙 그룹과 관련 수정 조치를 단일 엔터티로 패키징 :point_right: Config 규칙 관리 단순화
- 조직 전체에 걸친 규칙 배포와 수정 조치 단순화
- 규정 준수 요약이 팩 수준에서 보고될 수 있음 :point_right: 집계 보고 사용
다중 계정 다중 리전 데이터 집계
데이터 집계 기능
여러 계정과 리전의 Config 데이터 단일 계정에 집계
-
다중 계정 데이터 집계
중앙 IT 관리자가 엔터프라이즈의 여러 AWS 계정에 대한 규정 준수 모니터링
데이터 집계 기능 Config 규칙 프로비저닝 :x:
- 여러 계정에서 규칙을 프로비저닝 하는 데 사용 :x:
- 규정 준수에 대한 가시성 제공하는 보고 기능만 제공
집계자
여러 계정과 리전에서 AWS Config 데이터를 수집하는 AWS Config 리소스 유형
여러 계정과 리전에 대해 Config에 기록된 리소스 구성과 규정 준수 데이터 확인
집계 보기 페이지
- 조직 전체의 총 미준수 규칙수, 리소스 수 제공 (상위 5개)
- 사용자가 드릴다운하여 규칙을 위반한 리소스에 대한 세부 정보와 계정에서 위반하고 있는 규칙 목록 확인
CloudTrail
AWS 계정의 거버넌스, 규정 준수, 운영 감사, 위험 감사 지원 서비스
사용자 계정에서 이루어진 활동을 기록하고, 로그 파일을 사용자의 S3 버킷으로 전달하는 웹 서비스
- AWS 인프라에서 계정 활동과 관련된 작업 기록, 지속적으로 모티너링하여 보관
- 비정상적인 활동 탐지
:heavy_check_mark: POINT
- 규정 준수 간소화
- 사용자 및 리소스 활동에 대한 가시성
- 보안 분석 및 문제 해결
- 보안 자동화
- 사용자 계정에서 이루어진 작업 기록 :point_right: 활동에 대한 가시성 제공
- 각 작업에 대한 중요 정보 기록
- AWS 리소스에 이루어진 변경 사항을 추적하고 운영 관련 문제 해결에 도움
- 리소스에 대한 변경사항 추적
IAM
:cloud: Identity and Access Management(IAM)
AWS 서비스 및 리소스에 대한 액세스를 안전하게 관리
개별 액세스 및 그룹 액세스를 안전하게 제어
-
사용자 및 그룹 생성 :point_right: 리소스에 액세스 할 수 있는 권한 부여
-
AWS 리소스에 대한 액세스를 손쉽게 제공
-
IAM 사용자 및 액세스 관리
- 자격 증명 관리 시스템에서 사용자 생성
- 사용자에게 개별 보안 자격 증명 할당
- 임시 보안 자격 증명 요청: AWS 서비스 및 리소스에 대한 액세스 제공
-
연동 사용자의 액세스 관리
-
기업 디렉터리에서 관리하는 사용자에 대한 만료를 구성할 수 있는 보안 자격 증명 요청
:point_right: IAM 사용자 계정을 생성하지 않고도 직원과 애플리케이션에 AWS 계정의 리소스에 대한 보안 액세스 제공
-
-
-
추가 비용 :x:
-
사용자: AWS 서비스 및 애플리케이션에서 식별하는 고유한 자격 증명
-
할 수 있는 작업
S3 및 EC2과 같은 웹 서비스에 요청
-
그룹 생성 가능
-
-
보안 자격 증명
- AWS 액세스 키
- X.509 인증서
- SSH 키,
- 웹 앱 로그인용 암호 또는 MFA 디바이스
Directory
AWS 관리형 Microsft Active Directory
사용자, 그룹, 컴퓨터, 기타 리소스 등 조직에 관한 정보가 포함된 디렉터리를 제공하는 관리형 서비스 오퍼링
- 관리 작업을 줄여 비즈니스에 더 많은 시간과 리소스를 집중할 수 있도록 설계
- 각 디렉터리가 여러 가용 영역에 걸쳐 배포되고 모니터링을 통해 실패한 도메인 컨트롤러를 자동으로 탐지하여 교체
- 목잡하고 가용성이 뛰어난 디렉터리 토폴로지를 자체적으로 구축할 필요:x:
- 데이터 복제와 자동화된 일일 스냅샷 구성
수행 작업
- AWS 클라우드에서 디렉터리를 설정 및 실행
- AWS 리소스를 기존 온프레미스 Microsoft Active Directory에 연결
- Directory
- 사용자와 그룹 관리
- 앱과 서비스에 SSO 제공
- 그룹 정책 생성 및 적용
- EC2 인스턴스를 도메인에 조인
- 클라우드 기반 Linux 및 Windows 워크로드의 배포 및 관리 간소화
- Directory Service
- 최종 사용자가 기존 기업 자격 증명 사용
- Amazon WorkSpaces, WorkDocs, Work Mail과 같은 AWS 앱 커스텀
- .NET 및 SQL Server 기반 앱과 같은 디렉터리 인식 Microsoft 워크로드에 액세스
:heavy_check_mark: POINT
-
디렉터리 인식 온프레미스 워크로드를 손쉽게 마이그레이션
-
실제 Microsoft Activ Directory(AD) 사용
:cloud: AD
중앙 서버에 공통된 데이터베이스 생성하여 각 서버와 클라이언트는 해당 데이터베이스를 공유하여 Object 검색, 중앙에서 사용자 인증 및 권한 부여 처리가 가능하도록 처리해주는 서비스
-
클라우드 워크로드에서 단일 디렉터리 공유
-
기존 도메인 손쉽게 확장
-
AWS의 앱 액세스 및 디바이스를 중앙에서 관리
-
관리형 서비스로 관리 작업을 간소화
KMS
:cloud: Key Management Service
데이터를 암호화하거나 디지털 서명 시 사용하는 키를 손쉽게 생성 및 제어하는 관리형 서비스
고가용성 키 생성, 스토리지, 관리 및 감사 솔루션 제공
자체 앱 내 데이터 암호화, 디지털 방식 서명, AWS 서비스 전체에서 데이터 암호화 제어
- 서비스 전반에서 데이터를 보호할 책임이 있는 경우 KMS로 데이터에 대한 액세스를 제어하는 암호화 키를 중앙에서 관리
- KMS와 Encryption SDK를 같이 사용하면 코드에 대칭 암호화 키 손쉽게 생성, 사용 및 보호 :o:
:heavy_check_mark: POINT
- 완전관리형
- 중앙 집중식 키 관리
- AWS 서비스에 대한 암호화 관리
- 애플리케이션의 데이터 암호화
- 데이터 디지털 서명
- 저렴한 비용
- 보안
- 규정 준수
- 내장된 감사 기능
관리 기능
- 키 구성 요소가 서비스 내에서만 사용되는 대칭/비대칭 키 생성
- 사용자가 제어하는 사용자 지정 키 스토어 내에서 키 구성 요소가 생성되고 사용되는 대칭 키 생성
- 서비스 내 사용할 자체 대칭 키 구성 요소 가져오기
- 앱 내에서 로컬로 사용할 수 있는 대칭 및 비대칭 데이터 키 페어 생성
- 키를 관리할 수 있는 IAM 사용자 및 역할 정의
- 키를 사용하여 데이터 암호화/복호화 하는 IAM 사용자 및 역할 정의
- 서비스에서 생성된 키가 연간 단위로 자동으로 교체되도록 선택
- 아무도 사용할 수 없도록 일시적인 키 비활성화
- 비활성된 키 다시 활성화
- 더 이상 사용하지 않는 키 삭제 예약
- AWS CloudTrail의 로그를 검사하여 키 사용 감사
사용자 키 스토어
CloudHSM에서 제공하는 제어 기능과 KMS의 통합 및 사용 편의성 결합
자체 CloudHSM 클러스터 구성한 후 기본 KMS 키 스토어가 아닌 이 클러스터를 전용 키 스토어로 사용하도록 KMS에 권한 부여
- 사용자가 제어
- CMK의 수명 주기를 관리하는 옵션을 KMS와 상관 없이 사용자가 사용
Amazon Inspector
AWS에 배포된 앱의 보안 및 규정 준수를 개선하는 데 도움이 되는 자동 보안 평가 서비스
- 개발 및 배포 파이프라인 전체에서 정적 프로덕션 시스템에 대해 보안 취약성 평가 자동화
평가 템플릿
- 사용자가 Inspector에서 생성하는 구성, 평가 실행 정의
- 규칙 패키지
- 평가 실행 기간
- 평가 실행 상태 및 평가 결과에 대한 알림 전송 SNS 주제
- 평가 실행에서 생성된 평가 결과에 지정할 수 있는 Inspector 별 특성
평가 실행
- 지정된 규칙 패키지 기준으로 잠재적 보안 문제를 찾아내는 프로세스
- 평가 대상 구성
- 설치된 소프트웨어 및 동작 분석
- 네트워크 도달성 규칙 패키지 포함된 경우
- Inscpector가 AWS의 네트워크 구성을 분석, 네트워크를 통한 EC2 인스턴스의 접근성 찾음
- 인스턴스에 Inspector 에이전트가 설치된 경우
- 에이전트는 호스트상의 소프트웨어 및 구성 데이터를 수집 및 전송
- Inspector 서비스가 데이터를 분석하고 이를 지정된 규칙 패키지와 비교
:heavy_check_mark: POINT
- 앱 보안 문제 파악
- 앱이 배포되기 전/프로덕션 환경에서 실행되는 동안 앱 보안 취약성, 모범 사례와 차이점 파악
- 보안 상태 개선
- DevOps에 보안 통합
- AWS 계정의 네트워크 구성 분석
- EC2 인스턴스의 가시성에 대해 선택적 에이전트를 사용하는 API 중심 서비스
- 손쉽게 기존 DevOps 프로세스에 바로 구축하여 취약성 평가를 분산 및 자동화, 보안 평가
- 개발 민첩성 향상
- AWS 보안 전문성 활용
- 보안 규정 준수 간소화
- 보안 표준 적용
Amazon WAF
웹 애플리케이션 방화벽
일반적인 웹 취약점으로부터 웹 애플리케이션 보호
- 고객이 정의한 조건에 따라 웹 요청 허용, 차단, 모니터링하는 규칙 구성
- IP 주소, HTTP 헤더, HTTP 본문, URL 문자열, SQL 명령어 주입, XSS과 같은 일반적인 공격 기술로부터 웹 사이트 보호
- 기본 서비스에서 웹 사이트에 대한 요청 수신하면, 규칙과 비교하여 검사하도록 해당 요청을 AWS WAF로 전달
:heavy_check_mark: POINT
- 웹 공격에 대비하여 민첩한 보안
- 문제가 발생한 경우 환경에서 업데이트 보안을 1분 안에 빠르게 업데이트
- 수신 트래픽에 최소 지연 시간 영향을 미치는 웹 요청의 일부를 검사할 수 있는 규칙 지원
- 사용자가 생성한 규칙에 따라 트래픽 필터링, 공격으로부터 웹 앱 보호
- 관리형 규칙으로 시간 단축
- 웹 앱 또는 API를 빠르게 시작하고 공통 위협으로부터 보호
- OWASP 상위 10개 보안 위험, CMS에 대한 특정 위협, 새로 발생하는 DVE와 같은 문제 처리 규칙 선택
- 자동 업데이트
- 향상된 웹 트래픽 가시성
- 손쉬운 배포 및 유지 관리
- 모든 오리진 서버 전방에 배치된 CDN 솔루션, 즉 ALB의 일부인 CloudFront, API에 배포된 앱을 배포하고 보호
- 비용 효율적인 웹 애플리케이션 보호
- 애플리케이션 개발 방법과 통합된 보안
Shield
관리형 DDoS 보호
- 앱 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합 제공
- Shield Standard에 의한 자동 화성화 + 추가 비용:x:
:heavy_check_mark: POINT
- 원활한 통합 및 배포
- 가장 빈번히 발생하는 일반적인 네트워크 및 전송 계층 DDoS 공격으로부터 자동 보호
- 사용자 지정 가능한 보호
- 인프라 보호를 위한 리소스를 유연하게 선택
- WAF로 사용자 지정된 규칙을 작성하여 정교한 애플리케이션 계층 공격을 완화
- 관리형 보호 및 공격 가시성
- 가장 빈번히 발생하는 일반적인 네트워크 및 전송 계층 DDoS 공격에 대한 휴리스틱 기반의 상시 네트워크 플로우 모니터링 및 인라인 완화 제공
- 비용 효율