AWS WAF

비용

Q) 월별 5달러가 무슨 소리? 규칙의 경우 1개당 월별 1달러라는 소리??

-> 생성한 규칙 그룹 내의 규칙에 대한 요금이 부과됩니다. 또한 웹 ACL에 추가하는 각 규칙 그룹 또는 각 관리형 규칙 그룹에 대해 월별 1.00 USD의 요금(시간당 비례 할당)이 청구됩니다.

 

AWS WAF는 내 웹 사이트 또는 애플리케이션을 어떻게 보호합니까?

AWS WAF는 AWS 고객이 웹 사이트와 애플리케이션을 위한 콘텐츠를 전달하기 위해 흔히 사용하는 서비스인 Amazon CloudFront, Application Load Balancer(ALB), Amazon API Gateway 및 AWS AppSync와 긴밀히 통합됩니다. Amazon CloudFront에서 AWS WAF를 사용할 때는 전 세계 곳곳에서 최종 사용자에게 가까운 곳에 위치한 모든 AWS 엣지 로케이션에서 규칙이 실행됩니다. 즉, 보안으로 인해 성능이 저하되지는 않습니다. 차단된 요청은 고객 웹 서버에 도달하기 전에 중지됩니다. Application Load Balancer, Amazon API Gateway 및 AWS AppSync와 같은 리전 서비스에서 AWS WAF를 사용하는 경우에는 규칙이 리전에서 실행되며 이를 사용하여 내부 리소스는 물론 인터넷 연결 리소스를 보호할 수 있습니다.

 

AWS에서 호스팅하지 않는 웹 사이트도 AWS WAF를 사용하여 보호할 수 있습니까?

예. AWS WAF는 Amazon CloudFront와 통합되어 있으므로 AWS 외부의 사용자 지정 오리진도 지원합니다.

 

보안, 운영 또는 규제 준수 감사를 위해 내 계정에서 이루어진 모든 AWS WAF API 호출 내역을 확인할 수 있습니까?

예. 계정에서 이루어진 모든 AWS WAF API 호출 내역을 받아보려면 CloudTrail의 AWS Management Console에서 AWS CloudTrail을 켜기만 하면 됩니다. 자세한 정보는 AWS CloudTrail 홈 페이지를 방문하거나 AWS WAF 개발자 안내서를 참조하십시오.

 

AWS WAF는 어떤 서비스를 지원합니까?

AWS WAF는 Amazon CloudFront, Application Load Balancer(ALB), Amazon API Gateway 및 AWS AppSync에 배포할 수 있습니다. Amazon CloudFront에 배포되면, 콘텐츠 배포 네트워크(CDN)의 일부로 엣지 로케이션에서 리소스와 콘텐츠를 보호할 수 있습니다. Application Load Balancer에 배포되면, ALB 뒤에서 실행되는 오리진 웹 서버를 보호할 수 있습니다. Amazon API Gateway에 배포되면 REST API를 보호할 수 있습니다. AWS AppSync에 배포되면 GraphQL API를 보호할 수 있습니다.

 

AWS WAF에서 속도 기반 규칙이란 무엇입니까

속도 기반 규칙은 AWS WAF에서 구성할 수 있는 규칙 유형으로, 이를 통해 지속적으로 업데이트되는 후행 5분 기간에 클라이언트 IP에서 허용하는 웹 요청의 수를 지정할 수 있습니다. IP 주소가 구성된 제한을 위반하면 요청률이 구성된 임계값 밑으로 내려갈 때까지 새로운 요청이 차단됩니다.

속도 기반 규칙과 일반 AWS WAF 규칙을 비교하면 어떻습니까?

속도 기반 규칙은 일반 규칙과 비슷하며 속도 기반 임계값을 구성하는 기능만 추가되었습니다. 예를 들어 속도 기반 규칙의 임계값을 2,000으로 설정하면, 이 규칙은 지난 5분 동안 요청 수가 2,000이 넘는 모든 IP 주소를 차단합니다. 또한, 속도 기반 규칙은 일반 규칙에서 사용할 수 있는 다른 모든 AWS WAF 조건을 포함할 수 있습니다.

Q) 새로운 요청을 차단하는거야, 아니면 해당 IP를 차단하는거야?

 

관리형 규칙은 규칙 수에 대한 기존 AWS WAF 한도에 포함됩니까?

관리형 규칙 내의 규칙 수는 AWS WAF 한도에 포함되지 않습니다. 하지만 웹 ACL에 추가된 각 관리형 규칙은 1개 규칙으로 계산됩니다.

Q) 둘의 차이가 뭐지?

 

AWS WAF가 내 규칙을 전파하는 데 얼마나 걸립니까?

초기 설정 후에 규칙을 추가 또는 변경하면 전 세계로 전파되기까지 일반적으로 약 1분이 소요됩니다.

 

규칙이 제대로 작동하는지 확인하려면 어떻게 해야 합니까?

AWS WAF에는 웹 사이트가 어떻게 보호되고 있는지 확인할 수 있는 2가지 방법이 있습니다. CloudWatch에서 제공하는 1분 지표와 AWS WAF API 또는 관리 콘솔에서 제공하는 샘플링된 웹 요청을 확인하면 됩니다. 이를 통해 차단, 허용 또는 계수된 요청이 무엇인지 그리고 해당 요청과 일치하는 규칙은 무엇인지 볼 수 있습니다(예: 이 웹 요청은 IP 주소 조건으로 인해 차단되었습니다). 

 

실시간 지표와 표본 웹 요청은 얼마 동안 저장됩니까?

실시간 지표는 Amazon CloudWatch에 저장됩니다. 따라서 Amazon CloudWatch를 사용하여 이벤트를 종료할 기간을 설정할 수 있습니다. 표본 웹 요청은 최대 3시간 동안 보관됩니다.

 

AWS WAF에서 HTTPS 트래픽을 검사할 수 있습니까?

예. AWS WAF는 애플리케이션 보호를 지원하며, HTTP 또는 HTTPS를 통해 전송되는 웹 요청을 검사할 수 있습니다.

 

계정 탈취 방지는 Bot Control과 어떻게 비교할 수 있나요?

Bot Control은 리소스를 소비하고 지표를 왜곡하며 가동 중단을 초래하고 기타 원하지 않는 활동을 수행할 수 있는 일반적이고 널리 퍼진 봇 트래픽에 대한 가시성 및 제어를 제공합니다. Bot Control은 알려진 봇 서명에 대해 다양한 헤더 필드 및 요청 속성을 확인하여 스크레이퍼, 스캐너 및 크롤러와 같은 자동화된 봇을 감지하고 분류합니다.

계정 탈취 방지(ATP)는 손상된 자격 증명을 이용하는 악의적인 사용자의 비정상적인 로그인 시도에 대한 가시성 및 제어를 제공하여 사기 활동으로 이어질 수 있는 무단 액세스를 방지하도록 지원합니다. ATP는 애플리케이션의 로그인 페이지를 보호하는 데 사용됩니다.

Bot Control 및 ATP를 서로 독립적으로 사용하거나 함께 사용할 수 있습니다. Bot Control 관리형 규칙 그룹과 마찬가지로 ATP의 기본 규칙 작업을 사용하여 일치 요청을 차단하거나 AWS WAF 완화 기능을 사용하여 ATP 동작을 사용자 지정할 수 있습니다.

Q) 손상된 자격 증명이 뭐야?

AWS WAF Fraud Control - Account Creation Fraud Prevention

Account Creation Fraud Prevention이란 무엇인가요?

Account Creation Fraud Prevention(ACFP)은 가입 또는 등록 페이지에 대한 가짜 계정 생성 공격을 탐지하고 완화할 수 있는 유료 관리형 규칙 그룹입니다. ACFP를 사용하여 프로모션 또는 가입 남용, 로열티 또는 보상 남용 및 피싱을 방지할 수 있습니다. 새 계정 가입 시 ACFP는 제출된 각 보안 인증 정보(즉, 사용자 이름 및 암호), 사용된 이메일 도메인, 전화번호, 실시간으로 입력된 주소 필드와 같은 기타 정보를 확인하고 이러한 정보 중 하나라도 도난당한 것으로 간주되거나 평판이 좋지 않은 경우 가입 시도를 차단합니다. ACFP에는 ML 기반 탐지 모델에 대한 깊은 지식 없이도 사용할 수 있는 사기 위험 예측도 포함되어 있습니다. 또한 ACFP는 애플리케이션에 통합할 수 있는 권장 JavaScript 및 iOS/Android SDK를 제공하여 봇의 자동 로그인 시도로부터 애플리케이션을 보다 효과적으로 보호할 수 있도록 사용자에 대한 추가 원격 분석을 제공합니다.

ACFP는 Account Takeover Protection(ATP)과 어떤 관련이 있나요?

계정 탈취는 기존 계정에 대한 무단 액세스를 목표로 애플리케이션의 로그인 페이지를 공격하는 반면, 계정 생성 사기는 이러한 가짜 계정을 통해 사기를 저지르는 것을 목표로 애플리케이션의 가입 페이지를 대상으로 합니다. ATP는 공격자가 수백 번의 로그인 시도를 자동화하고 여러 사이트에서 도난당한 보안 인증 정보를 테스트하는 보안 인증 정보 채우기 및 무차별 대입 공격을 방지하는 데 중점을 둡니다. 대신 ACFP는 프로모션 또는 가입 악용, 로열티 또는 보상 남용 및 피싱과 같은 자동화된 사기를 방지하는 데 중점을 둡니다. ACFP 및 ATP를 서로 독립적으로 사용하거나 함께 사용할 수 있습니다.

 

FAQ

On some occasions, AWS WAF might encounter an internal error that delays the response to associated AWS resources about whether to allow or block a request. On those occasions, CloudFront typically allows the request or serves the content, while the Regional services typically deny the request and don't serve the content.

 

-> WAF가 가끔 response에 대한 internal error를 받으면, CF는 request를 보통 allow하고, Regional Services는 deny한다.

 

Challenge : 트래픽의 일부를 검사하고 이것이 악성 트래픽인지 확인하기 위한 과정