aws cloud 2017 - aws shield를 통한 ddos 대비 복원성 강한 aws 보안 아키텍처 구성...
TRANSCRIPT
![Page 1: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/1.jpg)
AWS Shield를 통한 DDoS 대비복원성 강한 AWS 보안 아키텍처 구성
![Page 2: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/2.jpg)
목차
디도스 공격이란?
디도스 공격 대응의 어려움
디도스 방어를 위한 AWS의 접근방법
관리형 디도스 방어 서비스로서의 AWS Shield 소개
Shield Advanced 데모
![Page 3: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/3.jpg)
디도스 공격이란?
![Page 4: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/4.jpg)
디도스 공격이란?
Distributed Denial Of Service
![Page 5: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/5.jpg)
디도스 공격의 유형
![Page 6: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/6.jpg)
디도스 공격의 유형
물량기반 디도스 공격
정상적으로 처리할 수 있는 수준을 상회하는트래픽을 전송하여 네트웍 기능을 마비시킴
(e.g., UDP reflection attacks)
![Page 7: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/7.jpg)
디도스 공격의 유형
상태 소진 형 디도스 공격
프로토콜 특성을 악용하여 방화벽, IPS, 로드밸런서 같은 시스템을 무력화
(e.g., TCP SYN flood)
![Page 8: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/8.jpg)
디도스 공격의 유형
어플리케이션 레이어 기반 디도스 공격
정상 요청으로 가장하지만, 방어수단을 우회하고어플리케이션 리소스를 소진하기 위한 악의적인
요청을 통한 공격(e.g., HTTP GET, DNS query floods)
![Page 9: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/9.jpg)
디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%물량기반
17%상태 소진형
18%어플리케이션
레이어
![Page 10: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/10.jpg)
디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%물량기반
17%상태 소진형
18%어플리케이션
레이어
SSDP reflection 공격이가장 흔한 유형
Reflection 공격은 분명한시그니쳐가 있으며, 가용밴드위쓰를 전부 점유하는
형태임
![Page 11: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/11.jpg)
디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%물량기반
17%상태 소진형
18%어플리케이션
레이어다른 유형의 물량 기반 공격들:
NTP reflection, DNS reflection,
Chargen reflection, SNMP reflection
![Page 12: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/12.jpg)
디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%물량기반
17%상태 소진형
18%어플리케이션
레이어
정상적인 커넥션 시도처럼가장한 SYN flood
흔히 대규모로 발생하며, 일반사용자의 정상적인 이용을 방해함.
![Page 13: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/13.jpg)
디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%물량기반
17%상태 소진형
18%어플리케이션
레이어
정상적인 DNS 요청을가장한 DNS query
flood
보통, DNS서버의 가용성을훼손하기 위해 수시간 동안
지속됨.
![Page 14: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/14.jpg)
디도스 공격의 트랜드
Volumetric State exhaustion Application layer
65%물량기반
17%상태 소진형
18%어플리케이션
레이어다른 유형의 어플리케이션
레이어 공격들:
HTTP GET flood, Slowloris
![Page 15: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/15.jpg)
디도스 공격 대응의 어려움
![Page 16: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/16.jpg)
디도스 공격 대응의 어려움
적용이 어려움
복잡한 구성절차 충분한 밴드위쓰 확보 어플리케이션아키텍쳐 재 구성
![Page 17: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/17.jpg)
디도스 공격 대응의 어려움
수작업 대응 과정
공격 대응에필요한 관계자참여 과정
원격에 있는정제장소를
경유토록 트래픽라우팅 변경
대응 시간의증가
전통적인데이터센터
![Page 18: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/18.jpg)
디도스 공격 대응의 어려움
트래픽 라우팅 변경 = 사용자 지연시간 증가
전통적인데이터센터
![Page 19: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/19.jpg)
디도스 공격 대응의 어려움
비싼 사용료
![Page 20: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/20.jpg)
디도스 방어를 위한 AWS의 접근방법
![Page 21: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/21.jpg)
디도스 방어를 위한 AWS의 접근방법
https://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_White_Paper.pdf
![Page 22: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/22.jpg)
AWS가 지향하는 목표는…
획일적인 대규모 변경 필요성 제거
통상적인 공격 형태에 대한자동화된 보호
가용성에 대한 확신
높은 가용성을 제공하는AWS 서비스들
![Page 23: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/23.jpg)
AWS에 적용된 디도스 방어체계
• AWS 글로벌 인프라에 적용
• 상시 운영, 외부 라우팅 없이 신속한 방어
• 여분의 AWS 데이터 센터 인터넷 연결성
![Page 24: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/24.jpg)
AWS에 적용된 디도스 방어체계
• 가장 흔한 공격 유형들 방어
• SYN/ACK Floods, UDP Floods, Refection attacks 등.
• 별도 비용 없음
디도스 대응시스템
디도스 공격
사용자
![Page 25: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/25.jpg)
고객들은 여전히…
AWS가 고객별로디도스 공격을방어해 주나요?
대규모로 디도스공격이 발생하면 어찌
됩니까?
공격받을 때 어떻게알 수 있죠?
AWS가 어플리케이션 레이어공격도 방어합니까?
공격에 따른스케일링 비용이
걱정되요디도스 전문가와상의하고 싶어요.
![Page 26: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/26.jpg)
관리형 디도스 방어 서비스로서의AWS Shield 소개
![Page 27: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/27.jpg)
AWS Shield
Standard Protection Advanced Protection
추가비용 없이 모든 AWS고객에게 적용됨
추가적인 보호와 기능 및잇점을 제공하는 비용 기반
서비스.
![Page 28: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/28.jpg)
AWS Shield
AWS 연계성인프라 구성을 변경할 필요없이 디도스방어 기능 적용 가능
적절성비용과 가용성 간에저울질할 필요없음
유연성여러분의 어플리케이션에 대한 맞춤식
보호
상시탐지 및 대응어플리케이션
지연시간의 영향 최소화
4가지주요특징들…
![Page 29: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/29.jpg)
AWS Shield Standard
레이어 3/4 보호
자동 탐지 및 대응
가장 흔한 공격유형에 대한
방어 (SYN/UDP Floods,
Reflection Attacks, 등)
AWS 서비스에 밀결합
레이어 7 보호
레이어 7 디도스 공격 대응을
위해 AWS WAF 활용
셀프서비스 및 사용량 과금
![Page 30: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/30.jpg)
AWS Shield Standard
AWS상에서 운영되는 여러분들의 어플리케이션에 대한 보다 나은보호
• 독자적인 BlackWatch 시스템을 이용한 향상된 방어
• 추가적인 방어 여력
• 탐지 및 방어 수준의 지속적인 향상에 대한 약속
• 추가비용 부담 없음
![Page 31: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/31.jpg)
AWS Shield Advanced
Application Load Balancer
Classic Load Balancer
Amazon CloudFront
Amazon Route 53
다음 서비스들에 적용 …
![Page 32: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/32.jpg)
AWS Shield Advanced
다음 리전에서 이용 가능 …
US East (N. Virginia) us-east-1
US West (Oregon) us-west-2
EU (Ireland) eu-west-1
Asia Pacific (Tokyo) ap-northeast-1
![Page 33: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/33.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 34: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/34.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 35: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/35.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 36: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/36.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 37: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/37.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 38: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/38.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 39: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/39.jpg)
상시 모니터링 및 탐지
네트웍 플로우모니터링
어플리케이션 트래픽모니터링
![Page 40: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/40.jpg)
상시 모니터링 및 탐지
시그니쳐 기반 탐지 휴리스틱 기반비정상 상태 탐지
기본 패턴 비교
![Page 41: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/41.jpg)
상시 모니터링 및 탐지
다음과 같은 속성을 기반으로 비정상 상태 탐지:
• 소스 IP
• 소스 ASN
• Traffic levels
• 검증된 소스
휴리스틱 기반 비정상 상태 탐지
![Page 42: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/42.jpg)
상시 모니터링 및 탐지
평상시 트래픽 패턴을 기준으로 상시 비교:
• 초당 HTTP 요청 수
• 소스 IP 주소
• URLs
• User-Agents
기본 패턴 비교
![Page 43: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/43.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 44: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/44.jpg)
고도화된 디도스 방어
레이어 7
어플리케이션 방어
레이어 3/4
인프라 방어
![Page 45: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/45.jpg)
고도화된 디도스 방어
레이어 7
어플리케이션 방어
레이어 3/4
인프라 방어
![Page 46: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/46.jpg)
레이어 3/4 인프라 방어
고도화된 방어 기법들
필터링 규칙 점수 기반 트래픽처리 순위화
고도화된라우팅 정책
![Page 47: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/47.jpg)
레이어 3/4 인프라 방어
비정상적인 TCP패킷을 자동으로 필터링:
• IP checksum
• TCP valid flags
• UDP payload length
• DNS request validation
필터링 규칙
![Page 48: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/48.jpg)
레이어 3/4 인프라 방어
낮은 의심도의 속성들
• 정상적인 패킷 혹은 요청 헤더
• Traffic composition and volume is
typical given its source
• 목적지가 검증된 트래픽
높은 의심도의 속성들
• 의심스러운 패킷 혹은 요청 헤더
• 헤더 속성의 트래픽 복잡도
• 트래픽 소스와 볼륨의 복잡도
• 트래픽 소스의 나쁜 평판
• 목적지가 틀린 트래픽
• ‘cache-busting’속성을 가진 요청
점수 기반 트래픽 처리 순위화
![Page 49: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/49.jpg)
레이어 3/4 인프라 방어
• 인라인 방식의 점검 및 점수화
• 낮은 순위(공격으로 의심되는) 트래픽에 대한 우선 제거
• 오탐 회피와 적법한 사용자 보호
점수 기반 트래픽 처리 순위화
높은 의심도 패킷 드랍
낮은 의심도 패킷 유지
![Page 50: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/50.jpg)
레이어 3/4 인프라 방어
• 분산된 정화 처리 및 밴드위쓰 용량
• 대규모 공격을 흡수할 수 있는 자동화된 라우팅 정책
• 필요시, 수작업 트래픽 처리
고도화된 라우팅 정책
![Page 51: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/51.jpg)
고도화된 디도스 방어
레이어 7
어플리케이션 방어
레이어 3/4
인프라 방어
![Page 52: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/52.jpg)
AWS WAF – 레이어 7 어플리케이션 방어
커스텀 규칙기반 웹 트래픽
필터링
악의적인 요청차단
액티브모니터링과 튜닝
![Page 53: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/53.jpg)
AWS WAF – 레이어 7 어플리케이션 방어
3 가지 이용 형태
셀프 서비스 디도스 전문가에게 요청
선제적으로 DRT팀개입
![Page 54: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/54.jpg)
AWS WAF – 레이어 7 어플리케이션 방어
• 추가 비용 부담 없이 AWS WAF 이용
셀프서비스
![Page 55: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/55.jpg)
AWS WAF – 레이어 7 어플리케이션 방어
1. AWS DDoS Response Team (DRT) 참여 요청
2. DRT팀에 의한 공격 유형 및 규모 분석
3. DRT팀 도움을 통해 고객이 AWS WAF 룰 생성하고 대처
디도스전문가참여
![Page 56: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/56.jpg)
AWS WAF – 레이어 7 어플리케이션 방어
1. AWS DDoS Response Team (DRT)에 의한 상시모니터링
2. DRT팀이 선제적으로 디도스 공격에 대응
3. DRT팀에 의한 AWS WAF 룰 적용 (사전에 권한설정 필요함)
선제적인 DRT 개입
![Page 57: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/57.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 58: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/58.jpg)
공격 통보 및 리포팅
공격 모니터링및 탐지
• Amazon CloudWatch 를 통해 공격에 대한 실시간 통보
• 준 실시간 메트릭과 공격 분석을 위한 패킷 캡춰
• 과거 공격 이력 리포트
![Page 59: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/59.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 60: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/60.jpg)
24x7 기반 DDoS 대응 팀 연계
• 중대하고 급박한 우선순위의 케이스에 대해 신속하게 답변이 제공될 수 있도록 디도스 전문가와직접 연결됨
• 복잡한 케이스를 AWS 및 아마존을 비롯한 기타서비스들을 보호하고 있는 경험많은 AWS 디도스대응팀(DRT)으로 바로 요청할 수 있음.
![Page 61: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/61.jpg)
24x7 기반 DDoS 대응 팀 연계
공격 이전
선제적으로 컨설팅과모범사례 가이드 전달
공격 도중
공격에 대한 대응조치
공격 이후
사후 분석
![Page 62: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/62.jpg)
AWS Shield Advanced
상시 모니터링 및 탐지
고도화된 L3/4 & L7
디도스 방어
공격 통보 및 리포팅24x7 기반 DDoS 대응 팀
연계
AWS 청구 보호
![Page 63: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/63.jpg)
AWS 청구 보호
디도스 공격으로 인한 스케일링 비용을 AWS가 흡수
• Amazon CloudFront
• Elastic Load Balancer
• Application Load Balancer
• Amazon Route 53
![Page 64: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/64.jpg)
AWS DDoS Shield: 이용 요금
• 약정기간 없음
• 추가 비용 없음
• 1 년 약정 기간
• 월간 기본 이용 요금: $3,000
• 데이터 전송 요금
데이터 전송 요금 ($ per GB)
CloudFront ELB
First 100 TB $0.025 $0.050
Next 400 TB $0.020 $0.040
Next 500 TB $0.015 $0.030
Next 4 PB $0.010 Contact Us
Above 5 PB Contact Us Contact Us
Standard Protection Advanced Protection
![Page 65: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/65.jpg)
AWS DDoS Shield: 선택 방법
• 대부분의 일상적인 디도스공격의 방어를 위해
• AWS 상의 디도스 방어를 강화하기 위한 도구 및 모범사례들을 이용하고자 할 때
• 좀더 규모가 크고 복잡한 형태의공격에 대한 추가적인 보호를 위해
• 공격에 대한 가시성 확보를 위해
• 공격으로 인한 손해를 회피하기위해
• 24X7 기반으로 디도스 전문사에게 복잡한 케이스들을 요청하기위해
Standard Protection Advanced Protection
![Page 66: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/66.jpg)
AWS Shield: 시작하기
• 자동으로 적용됨 • AWS 콘솔을 통해 시작
Standard Protection Advanced Protection
![Page 67: AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)](https://reader035.vdocuments.site/reader035/viewer/2022081507/58ee46911a28abd4038b46d3/html5/thumbnails/67.jpg)
감사합니다