본문 바로가기
[AWS]/AWS SAA EXAMTOPICS

[AWS][SAA][EXAMTOPICS] Question 252

by METAVERSE STORY 2022. 7. 6.
반응형

A business is planning to build a public-facing web application on Amazon Web Services (AWS). The architecture comprises of Amazon EC2 instances contained inside a Virtual Private Cloud (VPC) and protected by an Elastic Load Balancer (ELB). The DNS is managed by a third-party provider. The solutions architect of the business must offer a solution for detecting and defending against large-scale DDoS assaults.

Which solution satisfies these criteria?

  • A. Enable Amazon GuardDuty on the account.
  • B. Enable Amazon Inspector on the EC2 instances.
  • C. Enable AWS Shield and assign Amazon Route 53 to it.
  • D. Enable AWS Shield Advanced and assign the ELB to it.

 

한글 번역

기업은 Amazon Web Services(AWS)에서 공개 웹 애플리케이션을 구축할 계획입니다. 아키텍처는 Virtual Private Cloud(VPC) 내부에 포함되고 Elastic Load Balancer(ELB)로 보호되는 Amazon EC2 인스턴스로 구성됩니다. DNS는 타사 공급자가 관리합니다. 비즈니스 솔루션 설계자는 대규모 DDoS 공격을 감지하고 방어하기 위한 솔루션을 제공해야 합니다.

이 기준을 충족하는 솔루션은 무엇입니까?

  • A. 계정에서 Amazon GuardDuty를 활성화합니다.
  • B. EC2 인스턴스에서 Amazon Inspector를 활성화합니다.
  • C. AWS Shield를 활성화하고 여기에 Amazon Route 53을 할당합니다.
  • D. AWS Shield Advanced를 활성화하고 ELB를 할당합니다.

 

 

 

정답

  • D. Enable AWS Shield Advanced and assign the ELB to it.

 

해설

DoS(Denial of Service) 공격은 웹 사이트 또는 애플리케이션과 같은 대상 시스템의 가용성과 합법적인 최종 사용자에게 악영향을 미치려는 악의적인 시도입니다. 일반적으로 공격자는 대량의 패킷 또는 요청을 생성하여 궁극적으로 대상 시스템을 마비시킵니다. DDoS(Distributed Denial of Service) 공격에서는 공격자가 여러 개의 손상된 또는 제어된 소스를 사용하여 공격을 생성합니다.

일반적으로 DDoS 공격은 공격 대상인 OSI(Open Systems Interconnection) 모델의 계층에 따라 분리될 수 있습니다. DDoS 공격은 네트워크(계층 3), 전송(계층 4), 표현(계층 6) 및 애플리케이션(계층 7) 계층에서 가장 많이 나타납니다.


# 계층 애플리케이션 설명 벡터 예제
7 애플리케이션 데이터 애플리케이션에 대한 네트워크 프로세스 HTTP 플러드, DNS 쿼리 플러드
6 표현 데이터 데이터 표현 및 암호화 SSL 남용
5 세션 데이터 호스트 간 통신 해당 사항 없음
4 전송 세그먼트 엔드 투 엔드 연결 및 안정성 SYN 플러드
3 네트워크 패킷 경로 결정 및 논리적 주소 지정 UDP 반사 공격
2 데이터 링크 프레임 물리적 주소 지정 해당 사항 없음
1 물리 비트 미디어, 신호 및 바이너리 전송 해당 사항 없음

 

이러한 공격에 대응하는 완화 기법을 고려할 때, 공격을 인프라 계층(계층 3과 4) 공격과 애플리케이션 계층(계층 6과 7) 공격으로 그룹화하는 것이 도움이 됩니다.

인프라 계층 공격

계층 3과 4에 대한 공격은 일반적으로 인프라 계층 공격으로 분류됩니다. 이러한 공격은 가장 일반적인 유형의 DDoS 공격이며, SYN(동기화된) 플러드 같은 벡터 그리고 UDP(User Datagram Packet) 플러드 같은 기타 반사 공격을 포함합니다. 이러한 공격은 대개 볼륨이 상당히 크고, 네트워크 또는 애플리케이션 서버 용량에 과부하가 걸리게 하는 것을 목표로 합니다. 그러나 다행히 이러한 공격 유형은 징후가 분명하고 감지하기가 좀 더 쉽습니다.

애플리케이션 계층 공격

계층 6과 7에 대한 공격은 주로 애플리케이션 계층 공격으로 분류됩니다. 이러한 공격은 덜 일반적이긴 하지만 좀 더 정교한 경향이 있습니다. 일반적으로 이러한 공격은 인프라 계층 공격과 비교하여 볼륨은 작지만, 애플리케이션에서 고가의 특정 부분을 집중적으로 공격하여 실제 사용자가 사용할 수 없도록 만듭니다. 로그인 페이지에 대한 HTTP 요청 플러드, 고가의 검색 API 또는 Wordpress XML-RPC 플러드(Wordpress 핑백 공격이라고도 함)를 예로 들 수 있습니다.

공격 대상 영역 줄이기

DDoS 공격을 완화하는 첫 번째 기법 중 하나는 공격을 받을 수 있는 대상 영역을 최소화하여 공격자의 옵션을 제한하고 한 곳에서 보호 기능을 구축하는 것입니다. AWS에서는 애플리케이션이나 리소스를 통신이 일어날 것으로 예상되지 않는 포트, 프로토콜 또는 애플리케이션에 노출하지 않는다는 점을 분명히 말씀드릴 수 있습니다. 따라서 공격 가능 지점이 최소화되므로 AWS에서는 완화 노력에 집중할 수 있습니다. 일부의 경우에는 컴퓨팅 리소스를 콘텐츠 전송 네트워크(CDN) 또는 로드 밸런서 뒤에 배치하고 데이터베이스 서버와 같은 인프라의 특정 부분에 인터넷 트래픽이 직접 접근하지 못하도록 제한할 수 있습니다. 다른 경우에는 방화벽 또는 ACL(액세스 제어 목록)을 사용하여 애플리케이션에 도달하는 트래픽을 제어할 수 있습니다.

규모에 대한 대비

대규모 볼륨의 DDoS 공격을 완화하기 위한 주요 고려 사항 두 가지는 공격을 흡수하고 완화할 수 있는 대역폭(또는 전송) 용량과 서버 용량입니다

전송 용량. 애플리케이션을 설계할 때에는 호스팅 제공업체가 대량의 트래픽을 처리할 수 있도록 충분한 중복 인터넷 연결을 제공하는지 확인해야 합니다. DDoS 공격의 최종 목표가 리소스/애플리케이션의 가용성에 악영향을 주는 것이므로, 이를 최종 사용자뿐만 아니라 대규모 인터넷 교환망에 가까운 곳에 배치해야 합니다. 그러면 트래픽 볼륨이 증가하더라도 사용자가 애플리케이션에 쉽게 액세스할 수 있습니다. 또한, 웹 애플리케이션의 경우는 콘텐츠 전송 네트워크(CDN) 및 스마트 DNS 확인 서비스를 사용하여 최종 사용자에게 좀 더 가까운 위치에서 콘텐츠를 제공하고 DNS 쿼리를 해결할 수 있는 추가적인 네트워크 인프라 계층을 제공할 수 있습니다.

서버 용량. 대부분의 DDoS 공격은 많은 리소스를 소모하는 볼륨 공격입니다. 따라서 컴퓨팅 리소스를 신속하게 확장 또는 축소할 수 있는 기능이 중요합니다. 이를 위해서는 더 큰 컴퓨팅 리소스에서 실행하거나, 더 큰 볼륨을 지원하는 광범위한 네트워크 인터페이스 또는 향상된 네트워킹과 같은 기능이 있는 컴퓨팅 리소스에서 실행하면 됩니다. 또한, 로드 밸런서를 사용하여 지속적으로 리소스 간 로드를 모니터링하고 이동하여 하나의 리소스에만 과부하가 걸리지 않도록 하는 것도 일반적인 방법입니다.

정상 및 비정상 트래픽 파악

호스트의 트래픽 발생의 수준이 증가하는 것을 감지할 때마다 AWS에서 가장 기본적으로 고려하는 원칙은 가용성에 영향을 주지 않고 호스트가 처리할 수 있는 만큼의 트래픽만 수용할 수 있어야 한다는 것입니다. 이 개념을 속도 제한이라고 부릅니다. 좀 더 고급 보호 기법은 한 단계 더 나아가서 개별 패킷 자체를 분석하여 지능적으로 합법적인 트래픽만 수용하는 것입니다. 이를 위해서는 대상이 일반적으로 수신하는 정상 트래픽의 특징을 이해하고 각 패킷을 이러한 기준과 비교할 수 있어야 합니다.

정교한 애플리케이션 공격에 대비하여 방화벽 배포

애플리케이션 자체의 취약성을 악용하려고 시도하는 SQL 주입 또는 사이트 간 요청 위조와 같은 공격에 대비하려면 WAF(웹 애플리케이션 방화벽)를 사용하는 것이 좋습니다. 또한 이러한 공격의 고유한 특성상, 정상 트래픽으로 위장하거나 잘못된 IP 또는 예상치 못한 지역에서 수신되는 등의 특징이 있을 수 있는 불법적인 요청에 대비하여 사용자 지정된 완화 기능을 손쉽게 생성할 수 있어야 합니다. 때로는 트래픽 패턴을 연구하고 사용자 지정된 보호 기능을 생성할 수 있는 경험이 풍부한 엔지니어의 지원을 받을 수 있다면 공격을 완화하는 데 도움이 될 수 있습니다.

 

AWS Shield

관리형 DDoS 보호

 

AWS Shield는 AWS에서 실행되는 애플리케이션을 보호하는 디도스(DDoS) 보호 서비스입니다. AWS Shield는 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 인라인 통합을 제공하므로 DDoS 보호를 위해 AWS Support를 이용할 필요가 없습니다. AWS Shield에는 두 계층 – Standard 및 Advanced가 있습니다.

모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다. AWS Shield Standard는 가장 일반적이고 빈번하게 발생하며 웹 사이트 또는 애플리케이션을 목표로 하는 네트워크 및 전송 계층 DDoS 공격으로부터 보호합니다. AWS Shield Standard를 Amazon CloudFront 및 Amazon Route 53과 함께 사용하면, 모든 알려진 인프라(계층 3 및 4) 공격으로부터 가용성을 포괄적으로 보호할 수 있습니다.

Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 리소스에서 실행되는 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield Advanced를 구독하면 됩니다. AWS Shield Standard가 제공하는 네트워크 및 전송 계층 보호 이외에, AWS Shield Advanced는 정교한 대규모 DDoS 공격에 대한 추가 보호 및 완화, 실시간에 가까운 공격에 대한 가시성, 웹 애플리케이션 방화벽 AWS WAF와의 통합을 제공합니다. 또한, AWS Shield Advanced도 AWS Shield Response Team(SRT)에 대한 24X7 액세스를 제공하며 DDoS 관련 급증 시 Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB), Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 요금 보호를 제공합니다.

AWS Shield Advanced는 모든 Amazon CloudFront, AWS Global Accelerator 및 Amazon Route 53 엣지 로케이션에서 사용할 수 있습니다. 애플리케이션 앞에 Amazon CloudFront를 배포함으로써 전 세계 어디에서든 호스트된 웹 애플리케이션을 보호할 수 있습니다. 원본 서버는 Amazon Simple Storage Service(S3), Amazon Elastic Compute Cloud(EC2), Elastic Load Balancing(ELB) 또는 AWS 외부의 사용자 지정 서버가 될 수 있습니다. 또한 버지니아 북부, 오하이오, 오레곤, 캘리포니아 북부, 몬트리올, 상파울루, 아일랜드, 프랑크프루트, 런던, 파리, 스톡홀름, 싱가포르, 도쿄, 시드니, 서울, 뭄바이, 밀라노 및 케이프타운 AWS 리전에서는 Elastic Load Balancing 또는 Amazon EC2에서 직접 AWS Shield Advanced를 사용할 수 있습니다.

 

DNS는 타사에서 관리한다고 하였으니 Route 53을 할당할 필요는 없다. 그러므로 AWS Shield를 사용하면서 ELB를 할당해야 한다. 

 

참조 문서

https://aws.amazon.com/ko/shield/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc 

 

관리형 DDoS 보호 - AWS Shield - Amazon Web Services

William Hill은 AWS 서비스(Amazon CloudFront, AWS Shield Advanced, AWS WAF, Amazon EC2 R5 Instances, AWS Lambda, Amazon DynamoDB 및 Amazon Kinesis Data Streams)를 사용하여 고성능 DDoS 및 엣지 보호 플랫폼을 구축했습니다. 이 솔

aws.amazon.com

https://aws.amazon.com/ko/shield/ddos-attack-protection/

 

DDOS 공격의 정의 및 공격으로부터 사이트를 보호하는 방법

모든 AWS 고객은 추가 비용 없이 AWS Shield Standard에 의한 자동 보호를 받을 수 있습니다.

aws.amazon.com

 

반응형

댓글