인터넷 트래픽
│
▼
┌─────────────────────────────────────────┐
│ Shield Standard (L3/L4) — 무료, 자동 │ ← 모든 AWS 계정에 기본 적용
│ Shield Advanced (L3/L4/L7) — 유료 │ ← 대규모 DDoS 방어
└─────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────┐
│ AWS WAF (L7) — HTTP/HTTPS 필터링 │ ← CloudFront, ALB, API GW에 연결
│ SQL Injection, XSS, IP 차단 등 │
└─────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────┐
│ AWS Network Firewall (L3~L7) │ ← VPC 내부 경계 방어
│ VPC 진입/이탈 트래픽 전체 검사 │
└─────────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────┐
│ NACL (L3/L4, Stateless) │ ← 서브넷 경계
│ Security Group (L4, Stateful) │ ← 인스턴스 경계
└─────────────────────────────────────────┘
│
▼
EC2 / 서비스
Plain Text
복사
AWS Shield
Shield Standard
모든 AWS 계정에 추가 비용 없이 자동으로 적용
EC2, ELB, CloudFront, Route 53에 대한 일반적인 L3/L4 DDoS 공격을 자동으로 방어
•
UDP 반사 공격, TCP SYN Flood 등 자동 차단
•
별도 설정 불필요 — 항상 작동
Shield Advance (유료 — $3,000/month, 1년 약정)
대규모•정교한 DDoS 공격에 대한 추가 탐지 및 완화 기능을 제공
공격에 대한 실시간 가시성과 AWS WAF 통합을 지원
24x7 AWS DDoS Response Team(DRT) 접근과 DDoS로 인한 EC2, ELB, CloudFront, Global Accelerator, Route 53 스케일링 비용 보호 기능 포함
•
DDoS 비용 보호 — 공격으로 인한 Auto Scaling 과금 청구 크레딧 지원
•
자동 L7 완화 — WAF 규칙을 자동 생성해 공격 대응
•
Proactive Engagement — Route 53 Health Check 실패 시 DRT가 먼저 연락
•
Elastic IP를 보호할 경우, 공격 시 NACL을 AWS 네트워크 경계로 자동 이동시켜 일반적으로 VPC 내에서만 처리되던 것을 수 테라바이트 규모의 트래픽까지 처리할 수 있게 함
공격으로 인한 AWS 비용 급증 방지 → Shield Advanced의 DDos Cost Protection
Shield Standard만으로는 비용 보호를 할 수 없음
AWS WAF
AWS WAF는 웹 애플리케이션으로 전달되는 HTTP/HTTPS 요청을 모니터링하고 콘텐츠 접근을 제어하는 Web Application Firewall 이다.
연결 가능한 리소스 (암기)
•
Amazon CloudFront
•
Application Load Balancer
•
Amazon API Gateway
•
AWS AppSync
•
Amazon Cognito User Pool
NLB에는 WAF 연결 불가 — L7 아님WAF 핵심 구성 요소
Web ACL (1개 리소스당 1개만 연결 가능)
└── Rule Groups
├── Managed Rules (AWS 또는 Marketplace 제공, 즉시 사용 가능)
│ 예: AWSManagedRulesCommonRuleSet, SQLi, XSS
└── Custom Rules (직접 정의)
├── IP Set — 특정 IP/CIDR 허용·차단
├── Rate-based — 초당 요청 수 초과 시 차단
├── Geo Match — 국가별 차단
└── Regex Match — 요청 패턴 필터링
Plain Text
복사
WAF Rule Action
•
Allow — 통과
•
Block — 차단 (403 반환)
•
Count — 통과시키되 카운트만 (신규 규칙 테스트 시 필수 적용)
새 WAF 규칙 배포 시 바로 Block 적용하면 정상 트래픽 차단 위험이 존재한다.
따라서 Count 모드로 먼저 테스트 후 Block으로 전환한다.
AWS Network Firewall
VPC 내 트래픽을 필터링하는 상태 저장(stateful) 관리형 네트워크 방화벽 및 침입 탐지•방지 서비스
VPC의 경계에서 트래픽을 필터링하며, IGW, NAT GW, VPN, DX를 통한 트래픽을 포함
WAF와의 핵심 차이
항목 | AWS WAF | AWS Network Firewall |
보호 위치 | CloudFront, ALB Edge | VPC 내부 경계 |
레이어 | L7 (HTTP/HTTPS) | L3~L7 전체 |
프로토콜 | HTTP/HTTPS만 | TCP, UDP, ICMP 등 모두 |
IPS/IDS | | (Suricata 기반) |
도메인 필터링 | | (Outbound 도메인 차단) |
대상 | 웹 앱 공격 방어 | VPC 트래픽 전체 제어 |
Network Firewall 규칙 엔진
•
Stateless 엔진 — 각 패킷을 개별적으로 검사하며 트래픽 방향이나 기존 연결 여부 등을 고려하지 않음
•
Stateful 엔진 — 패킷을 트래픽 흐름의 맥락에서 검사하며 더 복잡한 규칙 사용과 네트워크 트래픽 로깅 가능
처리 순서:
패킷 수신
→ Stateless 규칙 평가 (빠름, 패킷 단위)
├── Pass / Drop / Forward to Stateful
→ Stateful 규칙 평가 (흐름 단위, Suricata IPS)
├── Pass / Drop / Reject / Alert
Plain Text
복사
Network Firewall 배치 위치
인터넷
│
▼
[Internet Gateway]
│
▼
[Firewall Subnet] ← Network Firewall Endpoint 여기에 배치
│
▼
[Application Subnet] ← EC2, ALB 등
Plain Text
복사
•
AZ마다 Firewall Subnet이 별도로 필요
•
VPC Route Table에서 모든 트래픽을 Firewall Endpoint로 우선 라우팅
대표 활용 사례
•
아웃바운드 도메인 허용 목록: EC2가 특정 도메인만 접근 가능하게 함 (예: *.amzonaws.com 만 허용)
•
IPS: 알려진 악성 IP/패턴 자동 차단
•
VPC 간 트래픽 검사: TGW 경유 트래픽 검사
AWS Firewall Manager
AWS WAF, Shield Advanced, Amazon VPC SG/NACL, AWS Network Firewall, Route 53 Resolver DNS Firewall 등 다양한 보안 규칙을 여러 계정과 리소스에 걸쳐 자동으로 관리한다.
Firewall Manager를 사용하면 설정을 한 번만 구성하면 새 계정이나 리소스가 추가되더라도 자동으로 보안 정책이 적용된다.
Firewall Manager가 필요한 시나리오
•
조직 내 모든 ALB에 동일한 WAF 규칙 적용
•
신규 계정 생성 시 자동으로 Shield Advanced 활성화
•
전체 VPC에 Network Firewall 정책 일괄 적용
Firewall Manager 사용 전제 조건
1.
AWS Organizations 활성화 및 All Features 활성화
2.
Firewall Manager Administrator 계정 지정
3.
각 멤버 계정에 AWS Config 활성화 필수
Organizations + Firewall Manager 조합 = 멀티 계정 보안 정책 중앙 관리
Summary
시나리오 | 정답 서비스 |
SQL 인젝션, XSS 웹 공격 차단 | WAF |
DDoS 공격 대량 트래픽 방어 | Shield (Standard/Advanced) |
공격으로 인한 AWS 비용 급증 방지 | Shield Advanced |
VPC 아웃바운드 특정 도메인만 허용 | Network Firewall |
EC2 간 트래픽 L3~L7 전체 검사 | Network Firewall |
100개 계정 전체에 WAF 규칙 일괄 배포 | Firewall Manager |
특정 IP 단순 차단, 서브넷 레벨 | NACL |
인스턴스 레벨 포트 허용 | Security Group |
다음 게시물