[AWS SCS] DDoS Attack Protection

DDoS 보호를 위한 솔루션 아키텍처 및 베스트 프랙티스

DDoS 공격에 대한 효과적인 방어를 위해서는 다양한 아키텍처와 베스트 프랙티스를 활용하는 것이 중요합니다. 이번 강의에서는 이러한 방어 전략과 솔루션 아키텍처를 중심으로 알아보겠습니다.

가상의 아키텍처

가상의 아키텍처를 가정해 보겠습니다. 자동 확장 그룹의 EC2 인스턴스가 있으며, 그 앞에는 Elastic Load Balancer가 배치되어 있습니다. 이 로드 밸런서는 글로벌 어레이셀레이터(GA)나 CloudFront로 노출될 수 있습니다. CloudFront는 WAF(Web Application Firewall)에 연결될 수 있으며, Route 53은 DNS 라우팅을 담당할 수 있습니다. 또 다른 아키텍처에서는 CloudFront와 API 게이트웨이가 함께 사용되기도 합니다. 이와 같은 조합을 통해 다양한 보호 방법을 실현할 수 있습니다.

엣지 로케이션에서의 보호

CloudFront와 글로벌 어레이셀레이터를 활용하면, AWS의 엣지 로케이션에서 트래픽을 분산 처리하고 DDoS 공격에 대한 보호를 제공할 수 있습니다. Route 53을 사용하면 전역적 도메인 이름 해석이 이루어지며, DNS에서도 DDoS 보호가 제공됩니다. 엣지 로케이션에 존재함으로써 트래픽이 바로 리소스에 도달하기 전에 여러 보호 메커니즘을 적용할 수 있습니다.

베스트 프랙티스

1. 자동 확장 그룹과 Elastic Load Balancer 활용:
   • BP1, BP3, BP6에서는 CloudFront, 글로벌 어레이셀레이터, Route 53, 그리고 Elastic Load Balancer를 활용하여 Amazon EC2 인스턴스가 과도한 트래픽에 노출되지 않도록 합니다. 이를 통해 자동 확장 그룹이 트래픽을 스스로 관리하며, 자동으로 스케일링될 수 있습니다.
2. 애플리케이션 계층에서의 방어:
   • CloudFront는 정적 콘텐츠를 엣지 로케이션에서 제공하고, WAF를 사용하여 요청을 필터링하고 차단할 수 있습니다. WAF의 관리 규칙을 활용하여 악성 IP 주소나 특정 요청 유형을 차단할 수 있습니다. Shield Advanced를 활성화하면 자동으로 WAF 규칙이 생성되어 Layer 7 공격을 방지할 수 있습니다.
3. 백엔드 리소스 숨기기:
   • API 게이트웨이를 사용하면 API 키를 강제 적용하여 HTTP 요청을 보호할 수 있습니다. 이를 통해 백엔드 AWS 리소스가 숨겨지고, 공격자가 실제 리소스를 알지 못하게 할 수 있습니다.

결론

이와 같은 아키텍처와 방어 전략을 통해 DDoS 공격에 효과적으로 대응할 수 있으며, 향후 시험에서도 이러한 사고방식을 요구할 수 있습니다. 이를 통해 AWS 환경에서의 DDoS 보호가 강화되고, 안정적인 서비스 운영이 가능해집니다.