AWS DDos 완화 기술
DDoS (분산 서비스 거부) 공격을 방지하는 데 적합 하지 않은 실행 가능한 완화 기술에 대해 묻는다는 점에 유의하십시오 .
서비스 거부 (DoS) 공격은 최종 사용자가 웹 사이트 또는 애플리케이션을 사용할 수 없게 만드는 공격입니다. 이를 위해 공격자는 네트워크 또는 기타 리소스를 소비하는 다양한 기술을 사용하여 합법적 인 최종 사용자의 액세스를 방해합니다.
DDoS 공격으로부터 시스템을 보호하기 위해 다음을 수행 할 수 있습니다.
-정적 및 동적 콘텐츠를 모두 배포하려면 Amazon CloudFront 서비스를 사용하십시오.
-EC2 인스턴스에 Auto Scaling 그룹과 함께 Application Load Balancer를 사용한 다음 프라이빗 서브넷에 배포하여 Amazon RDS 데이터베이스로 직접 인터넷 트래픽을 제한합니다.
-Amazon CloudWatch에서 알림을 설정하여 높은 Network InCPU 사용률 지표 를 찾습니다 .
Elastic Load Balancing 및 Amazon Elastic Compute Cloud (EC2)와 같이 AWS 리전 내에서 사용할 수있는 서비스를 사용하면 분산 서비스 거부 복원력을 구축하고 지정된 리전 내에서 예기치 않은 트래픽 볼륨을 처리하도록 확장 할 수 있습니다. Amazon CloudFront, AWS WAF, Amazon Route53 및 Amazon API Gateway와 같이 AWS 엣지 로케이션에서 사용할 수있는 서비스를 통해 애플리케이션에 더 큰 내결함성과 관리를위한 확장 된 확장을 제공 할 수있는 엣지 로케이션의 글로벌 네트워크를 활용할 수 있습니다. 더 많은 트래픽.
또한 AWS Shield 및 AWS WAF를 사용하여 클라우드 네트워크를 강화할 수도 있습니다. AWS Shield는 표준 및 고급의 두 가지 계층으로 제공되는 관리 형 DDoS 보호 서비스입니다. AWS Shield Standard는 결정적 패킷 필터링 및 우선 순위 기반 트래픽 형성과 같은 상시 감지 및 인라인 완화 기술을 적용하여 애플리케이션 다운 타임 및 지연 시간을 최소화합니다.
AWS WAF는 애플리케이션 가용성에 영향을 미치거나 보안을 손상 시키거나 과도한 리소스를 소비 할 수있는 일반적인 웹 악용으로부터 웹 애플리케이션을 보호하는 데 도움이되는 웹 애플리케이션 방화벽입니다. AWS WAF를 사용하여 웹 애플리케이션에 액세스하는 트래픽을 제어하는 사용자 지정 가능한 웹 보안 규칙을 정의 할 수 있습니다. AWS Shield Advanced를 사용하는 경우 보호 된 리소스에 대해 추가 비용없이 AWS WAF를 사용할 수 있으며 DRT를 사용하여 WAF 규칙을 생성 할 수 있습니다.
전용 EC2 인스턴스를 사용하여 각 인스턴스가 가능한 최대 성능을 갖도록 보장하는 것은 전용 EC2 인스턴스가 인스턴스 청구 옵션 일 뿐이므로 실행 가능한 완화 기술이 아닙니다. 각 인스턴스가 최대 성능을 제공하도록 보장 할 수 있지만 그 자체로는 DDoS 공격을 완화하기에 충분하지 않습니다.
각 EC2 인스턴스에 여러 개의 Elastic Fabric Adapter (EFA)를 추가하여 네트워크 대역폭을 늘리는 것도 DDoS 공격 완화가 아닌 성능 향상을 위해 주로 수행되므로 실행 가능한 옵션이 아닙니다. 또한 EC2 인스턴스 당 하나의 EFA 만 연결할 수 있습니다. EFA (Elastic Fabric Adapter)는 HPC (고성능 컴퓨팅) 및 기계 학습 애플리케이션을 가속화하기 위해 Amazon EC2 인스턴스에 연결할 수있는 네트워크 디바이스입니다.
다음 옵션은 DDoS를 방지하는 데 사용할 수있는 유효한 완화 기술입니다.
- 정적 및 동적 콘텐츠를 모두 배포하려면 Amazon CloudFront 서비스를 사용하십시오.
-EC2 인스턴스에 Auto Scaling 그룹과 함께 Application Load Balancer를 사용한 다음 프라이빗 서브넷에 배포하여 Amazon RDS 데이터베이스로 직접 인터넷 트래픽을 제한합니다.
-AWS Shield 및 AWS WAF를 사용합니다.