[AWS] WAF Web ACL, CloudFront, DDoS, 한 눈에 이해하자

WAF + CloudFront 조합

AWS WAF란

WS WAF(Web Application Firewall)는 웹 애플리케이션에 대한 공격(예: SQL 인젝션, 크로스사이트 스크립트, DDoS 등)을 차단하기 위한 보안 서비스이다.

 

AWS WAF 주요 기능

• 규칙 기반 제어 (Rules): 조건에 따라 트래픽 허용/차단
• 속도 기반 제어 (Rate-based rules): 단일 IP가 일정 시간 내 요청 수 초과 시 차단
• 매니지드 룰셋 (AWS 또는 서드파티): OWASP Top 10 등을 쉽게 적용 가능
• Bot Control / CAPTCHA: 봇 탐지 및 대응 기능

 

AWS WAF의 Web ACL에 대해서

 

Web ACL은 Allow / Block / Count 세 가지 동작 중 하나를 기본값으로 설정하며, 우선순위 기반 평가를 통해 개별 요청을 처리한다.

구성 요소는 아래와 같다.

• 기본 작업 (Default Action): 조건에 해당하지 않는 트래픽에 대해 Allow 또는 Block
• 규칙 (Rule): 조건과 일치하는 트래픽에 대해 Allow/Block/Count 지정
• 우선순위: 규칙 실행 순서를 제어
• 스코프(Scope): 글로벌(CloudFront) 또는 리전(ALB, API Gateway 등) 단위

 

WAF + CloudFront 조합으로 DDoS 방어

CloudFront 앞단에 WAF를 설치해 DDoS 공격을 방어할 수 있다.

CloudFront의 엣지에서 요청을 선차단하면, 오리진(S3, ALB 등)에 부담을 줄여줄 수 있다.

1. 속도 기반 규칙 설정 (Rate-based rule)
   • 특정 IP에서 일정 시간 동안의 요청 수를 초과하면 자동 차단
   • 예: 5분 동안 2000회 이상 요청 시 해당 IP 차단
2. Web ACL 구성
   • 기본 동작: Allow (모든 요청 허용)
   • 조건 규칙: 속도 기반 차단 룰 추가 → 트래픽 급증 시 해당 요청 Block
3. CloudFront와 연결
   • WAF Web ACL을 CloudFront 배포에 연결(Association)
   • CloudFront로 유입되는 모든 HTTP 요청에 대해 Web ACL 적용됨

---

 

예제 문제

한 회사의 공개 웹사이트가 Amazon CloudFront 배포판 뒤의 us-east-1 리전에 있는 Amazon S3 버킷에 호스팅되어 있습니다. 이 회사는 웹사이트가 DDoS 공격으로부터 보호되도록 하려고 합니다. 시스템 운영 관리자는 DDoS 보호가 적용되는 속도 제한을 제어할 수 있는 솔루션을 구축해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A. 기본 작업 허용을 사용하여 글로벌 범위 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 차단하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 CloudFront 배포와 연결합니다.
• B. us-east-1에 기본 작업 허용을 포함한 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 차단하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 S3 버킷과 연결합니다.
• C. 기본 작업 차단을 사용하여 글로벌 범위 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 허용하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 CloudFront 배포와 연결합니다.
• D. us-east-1에 기본 차단 동작이 포함된 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 허용하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 S3 버킷과 연결합니다.

답 : A

이유 : 일반적인 트래픽은 허용하고, 비정상적으로 급증한 트래픽(DDoS)만 차단할 것이므로 기본 작업을 허용 + 속도 기반 규칙을 구성해 차단하는 방식을 사용해야 한다.