AWS WAF란
WS WAF(Web Application Firewall)는 웹 애플리케이션에 대한 공격(예: SQL 인젝션, 크로스사이트 스크립트, DDoS 등)을 차단하기 위한 보안 서비스이다.
AWS WAF 주요 기능
- 규칙 기반 제어 (Rules): 조건에 따라 트래픽 허용/차단
- 속도 기반 제어 (Rate-based rules): 단일 IP가 일정 시간 내 요청 수 초과 시 차단
- 매니지드 룰셋 (AWS 또는 서드파티): OWASP Top 10 등을 쉽게 적용 가능
- Bot Control / CAPTCHA: 봇 탐지 및 대응 기능
AWS WAF의 Web ACL에 대해서
Web ACL은 Allow / Block / Count 세 가지 동작 중 하나를 기본값으로 설정하며, 우선순위 기반 평가를 통해 개별 요청을 처리한다.
구성 요소는 아래와 같다.
- 기본 작업 (Default Action): 조건에 해당하지 않는 트래픽에 대해 Allow 또는 Block
- 규칙 (Rule): 조건과 일치하는 트래픽에 대해 Allow/Block/Count 지정
- 우선순위: 규칙 실행 순서를 제어
- 스코프(Scope): 글로벌(CloudFront) 또는 리전(ALB, API Gateway 등) 단위
WAF + CloudFront 조합으로 DDoS 방어
CloudFront 앞단에 WAF를 설치해 DDoS 공격을 방어할 수 있다.
CloudFront의 엣지에서 요청을 선차단하면, 오리진(S3, ALB 등)에 부담을 줄여줄 수 있다.
- 속도 기반 규칙 설정 (Rate-based rule)
- 특정 IP에서 일정 시간 동안의 요청 수를 초과하면 자동 차단
- 예: 5분 동안 2000회 이상 요청 시 해당 IP 차단
- Web ACL 구성
- 기본 동작: Allow (모든 요청 허용)
- 조건 규칙: 속도 기반 차단 룰 추가 → 트래픽 급증 시 해당 요청 Block
- CloudFront와 연결
- WAF Web ACL을 CloudFront 배포에 연결(Association)
- CloudFront로 유입되는 모든 HTTP 요청에 대해 Web ACL 적용됨
예제 문제
한 회사의 공개 웹사이트가 Amazon CloudFront 배포판 뒤의 us-east-1 리전에 있는 Amazon S3 버킷에 호스팅되어 있습니다. 이 회사는 웹사이트가 DDoS 공격으로부터 보호되도록 하려고 합니다. 시스템 운영 관리자는 DDoS 보호가 적용되는 속도 제한을 제어할 수 있는 솔루션을 구축해야 합니다.
이러한 요구 사항을 충족하는 솔루션은 무엇입니까?
- A. 기본 작업 허용을 사용하여 글로벌 범위 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 차단하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 CloudFront 배포와 연결합니다.
- B. us-east-1에 기본 작업 허용을 포함한 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 차단하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 S3 버킷과 연결합니다.
- C. 기본 작업 차단을 사용하여 글로벌 범위 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 허용하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 CloudFront 배포와 연결합니다.
- D. us-east-1에 기본 차단 동작이 포함된 AWS WAF 웹 ACL을 배포합니다. 일치하는 트래픽을 허용하도록 AWS WAF 속도 기반 규칙을 구성합니다. 웹 ACL을 S3 버킷과 연결합니다.
더보기
답 : A
이유 : 일반적인 트래픽은 허용하고, 비정상적으로 급증한 트래픽(DDoS)만 차단할 것이므로 기본 작업을 허용 + 속도 기반 규칙을 구성해 차단하는 방식을 사용해야 한다.
'Certificate > AWS SOA-C02' 카테고리의 다른 글
[AWS] NAT Instance와 NAT Gateway 비교, 한 눈에 이해하자 (0) | 2025.04.16 |
---|---|
[AWS] S3 Server Access Logging(S3 서버 액세스 로깅), 한 눈에 이해하자 (0) | 2025.04.16 |
[AWS] AWS CloudFormation StackSets(스택 세트), Stack Instance(스택 인스턴스) 상태, 한 눈에 이해하기 (0) | 2025.04.16 |
[AWS] Trusted Advisor와 Support Plan, 한 눈에 이해하자 (0) | 2025.04.16 |
[AWS] AWS CloudFormation의 사용자 지정 리소스(Custom Resource), 한 눈에 이해하자 (0) | 2025.04.16 |