[AWS WAF & Shield] 33. WAF & Shield

ㅇ AWS WAF란?

    > 고객이 정의한 조건에 따라 웹 요청을 허용, 차단 또는 모니터링(계수)하는 규칙을 구성하여 공격으로부터 웹 애플리케이션을 보호하는 웹 애플리케이션 방화벽

 

ㅇ WAF를 통한 공격 확인

    > ELB 모니터링의 "요청"탭에서 특정 시간 요청 개수가 폭발적으로 증가한 것을 확인 가능

        * DDoS 공격임을 예측 가능

    > [AWS Shield] - [Protected resources] 을 통해 AWS Resource를 확인함 어떠한 리소스에 Shield가 적용되어 있는지 확인 가능

        * AWS Shield 서비스를 사용하기 위해선 매달 $3,000을 지불해야함

    > [AWS Shield] - [Incident] 에서 AWS resource affected를 통해 어떤 리소스가 공격당했고, Attack vectors를 통해 어떤 공격을 받았는지 확인 가능

        * Request Flood(폭발적인 리퀘스트 증가)를 통해 DDoS공격 감지

        * AWS Shield 정책상 Layer3, 4는 공격 감지 및 대처가 가능하지만, Layer 7는 공격 감지만 가능할 뿐 이에 대한 대처는 사용자가 스스로 수행해야함

 

    > CloudWatch 모니터링 시간 + 9 가 Shield 시간이랑 동일하면 공격임을 확신가능

    > 리소스 선택 시 공격을 언제, 얼마나 당했는지 그래프를 통해 확인 가능

        * ELB 모니터링은 UTC 시간이므로 서울 시간을 확인하기 위해서는 +9시간

 

    > 요청이 많이 들어온 IP, 국가, URL 등의 정보를 통해 어떠한 정보를 차단하는 것이 효율적인지 판단 가능

        * 주로WAF로는 IP나 국가로 차단하고, URL은 ELB에서 ALB Rule로 차단

 

ㅇ WAF 설정법

    1) IP 차단법

        > [WAF] - [IP Adress] - [Create condition] 선택 및 condition 생성

 

        > 정책을 추가하고 싶은 condition을 선택한 후 [Add IP addresses or ranges]를 선택해 차단하고 싶은 IP 추가

 

    2) 지역(국가) 차단법

        > [WAF] - [Geo match] - [Create condition] 선택 및 condition 생성

 

        > 정책을 추가하고 싶은 condition을 선택한 후 [Add filter]를 선택해 차단하고 싶은 국가 추가