AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)

AWS Shield를 통한 DDoS 대비복원성 강한 AWS 보안 아키텍처 구성

목차

디도스 공격이란?

디도스 공격 대응의 어려움

디도스 방어를 위한 AWS의 접근방법

관리형 디도스 방어 서비스로서의 AWS Shield 소개

Shield Advanced 데모



Distributed Denial Of Service

디도스 공격의 유형


물량기반 디도스 공격

정상적으로 처리할 수 있는 수준을 상회하는트래픽을 전송하여 네트웍 기능을 마비시킴

(e.g., UDP reflection attacks)


상태 소진 형 디도스 공격

프로토콜 특성을 악용하여 방화벽, IPS, 로드밸런서 같은 시스템을 무력화

(e.g., TCP SYN flood)


어플리케이션 레이어 기반 디도스 공격

정상 요청으로 가장하지만, 방어수단을 우회하고어플리케이션 리소스를 소진하기 위한 악의적인

요청을 통한 공격(e.g., HTTP GET, DNS query floods)

디도스 공격의 트랜드

Volumetric State exhaustion Application layer

65%물량기반

17%상태 소진형

18%어플리케이션

레이어



65%물량기반

17%상태 소진형


레이어

SSDP reflection 공격이가장 흔한 유형

Reflection 공격은 분명한시그니쳐가 있으며, 가용밴드위쓰를 전부 점유하는

형태임



65%물량기반

17%상태 소진형


레이어다른 유형의 물량 기반 공격들:

NTP reflection, DNS reflection,

Chargen reflection, SNMP reflection



65%물량기반

17%상태 소진형


레이어

정상적인 커넥션 시도처럼가장한 SYN flood

흔히 대규모로 발생하며, 일반사용자의 정상적인 이용을 방해함.



65%물량기반

17%상태 소진형


레이어

정상적인 DNS 요청을가장한 DNS query

flood

보통, DNS서버의 가용성을훼손하기 위해 수시간 동안

지속됨.



65%물량기반

17%상태 소진형


레이어다른 유형의 어플리케이션

레이어 공격들:

HTTP GET flood, Slowloris



적용이 어려움

복잡한 구성절차 충분한 밴드위쓰 확보 어플리케이션아키텍쳐 재 구성


수작업 대응 과정

공격 대응에필요한 관계자참여 과정

원격에 있는정제장소를

경유토록 트래픽라우팅 변경

대응 시간의증가

전통적인데이터센터


트래픽 라우팅 변경 = 사용자 지연시간 증가

전통적인데이터센터


비싼 사용료



https://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_White_Paper.pdf

https://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_White_Paper.pdf

AWS가 지향하는 목표는…

획일적인 대규모 변경 필요성 제거

통상적인 공격 형태에 대한자동화된 보호

가용성에 대한 확신

높은 가용성을 제공하는AWS 서비스들

AWS에 적용된 디도스 방어체계

• AWS 글로벌 인프라에 적용

• 상시 운영, 외부 라우팅 없이 신속한 방어

• 여분의 AWS 데이터 센터 인터넷 연결성

AWS에 적용된 디도스 방어체계

• 가장 흔한 공격 유형들 방어

• SYN/ACK Floods, UDP Floods, Refection attacks 등.

• 별도 비용 없음

디도스 대응시스템

디도스 공격

사용자

고객들은 여전히…

AWS가 고객별로디도스 공격을방어해 주나요?

대규모로 디도스공격이 발생하면 어찌

됩니까?

공격받을 때 어떻게알 수 있죠?

AWS가 어플리케이션 레이어공격도 방어합니까?

공격에 따른스케일링 비용이

걱정되요디도스 전문가와상의하고 싶어요.

관리형 디도스 방어 서비스로서의AWS Shield 소개

AWS Shield

Standard Protection Advanced Protection

추가비용 없이 모든 AWS고객에게 적용됨

추가적인 보호와 기능 및잇점을 제공하는 비용 기반

서비스.

AWS Shield

AWS 연계성인프라 구성을 변경할 필요없이 디도스방어 기능 적용 가능

적절성비용과 가용성 간에저울질할 필요없음

유연성여러분의 어플리케이션에 대한 맞춤식

보호

상시탐지 및 대응어플리케이션

지연시간의 영향 최소화

4가지주요특징들…

AWS Shield Standard

레이어 3/4 보호

자동 탐지 및 대응

가장 흔한 공격유형에 대한

방어 (SYN/UDP Floods,

Reflection Attacks, 등)

AWS 서비스에 밀결합

레이어 7 보호

레이어 7 디도스 공격 대응을

위해 AWS WAF 활용

셀프서비스 및 사용량 과금

AWS Shield Standard

AWS상에서 운영되는 여러분들의 어플리케이션에 대한 보다 나은보호

• 독자적인 BlackWatch 시스템을 이용한 향상된 방어

• 추가적인 방어 여력

• 탐지 및 방어 수준의 지속적인 향상에 대한 약속

• 추가비용 부담 없음

AWS Shield Advanced

Application Load Balancer

Classic Load Balancer

Amazon CloudFront

Amazon Route 53

다음 서비스들에 적용 …

AWS Shield Advanced

다음 리전에서 이용 가능 …

US East (N. Virginia) us-east-1

US West (Oregon) us-west-2

EU (Ireland) eu-west-1

Asia Pacific (Tokyo) ap-northeast-1

AWS Shield Advanced

상시 모니터링 및 탐지

고도화된 L3/4 & L7

디도스 방어

공격 통보 및 리포팅24x7 기반 DDoS 대응 팀

연계

AWS 청구 보호

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호


네트웍 플로우모니터링

어플리케이션 트래픽모니터링


시그니쳐 기반 탐지 휴리스틱 기반비정상 상태 탐지

기본 패턴 비교


다음과 같은 속성을 기반으로 비정상 상태 탐지:

• 소스 IP

• 소스 ASN

• Traffic levels

• 검증된 소스

휴리스틱 기반 비정상 상태 탐지


평상시 트래픽 패턴을 기준으로 상시 비교:

• 초당 HTTP 요청 수

• 소스 IP 주소

• URLs

• User-Agents

기본 패턴 비교

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

고도화된 디도스 방어

레이어 7

어플리케이션 방어

레이어 3/4

인프라 방어


레이어 7


레이어 3/4

인프라 방어

레이어 3/4 인프라 방어

고도화된 방어 기법들

필터링 규칙 점수 기반 트래픽처리 순위화

고도화된라우팅 정책


비정상적인 TCP패킷을 자동으로 필터링:

• IP checksum

• TCP valid flags

• UDP payload length

• DNS request validation

필터링 규칙


낮은 의심도의 속성들

• 정상적인 패킷 혹은 요청 헤더

• Traffic composition and volume is

typical given its source

• 목적지가 검증된 트래픽

높은 의심도의 속성들

• 의심스러운 패킷 혹은 요청 헤더

• 헤더 속성의 트래픽 복잡도

• 트래픽 소스와 볼륨의 복잡도

• 트래픽 소스의 나쁜 평판

• 목적지가 틀린 트래픽

• ‘cache-busting’속성을 가진 요청

점수 기반 트래픽 처리 순위화


• 인라인 방식의 점검 및 점수화

• 낮은 순위(공격으로 의심되는) 트래픽에 대한 우선 제거

• 오탐 회피와 적법한 사용자 보호

점수 기반 트래픽 처리 순위화

높은 의심도 패킷 드랍

낮은 의심도 패킷 유지


• 분산된 정화 처리 및 밴드위쓰 용량

• 대규모 공격을 흡수할 수 있는 자동화된 라우팅 정책

• 필요시, 수작업 트래픽 처리

고도화된 라우팅 정책


레이어 7


레이어 3/4

인프라 방어

AWS WAF – 레이어 7 어플리케이션 방어

커스텀 규칙기반 웹 트래픽

필터링

악의적인 요청차단

액티브모니터링과 튜닝


3 가지 이용 형태

셀프 서비스 디도스 전문가에게 요청

선제적으로 DRT팀개입


• 추가 비용 부담 없이 AWS WAF 이용

셀프서비스


1. AWS DDoS Response Team (DRT) 참여 요청

2. DRT팀에 의한 공격 유형 및 규모 분석

3. DRT팀 도움을 통해 고객이 AWS WAF 룰 생성하고 대처

디도스전문가참여


1. AWS DDoS Response Team (DRT)에 의한 상시모니터링

2. DRT팀이 선제적으로 디도스 공격에 대응

3. DRT팀에 의한 AWS WAF 룰 적용 (사전에 권한설정 필요함)

선제적인 DRT 개입

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

공격 통보 및 리포팅

공격 모니터링및 탐지

• Amazon CloudWatch 를 통해 공격에 대한 실시간 통보

• 준 실시간 메트릭과 공격 분석을 위한 패킷 캡춰

• 과거 공격 이력 리포트

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

24x7 기반 DDoS 대응 팀 연계

• 중대하고 급박한 우선순위의 케이스에 대해 신속하게 답변이 제공될 수 있도록 디도스 전문가와직접 연결됨

• 복잡한 케이스를 AWS 및 아마존을 비롯한 기타서비스들을 보호하고 있는 경험많은 AWS 디도스대응팀(DRT)으로 바로 요청할 수 있음.

24x7 기반 DDoS 대응 팀 연계

공격 이전

선제적으로 컨설팅과모범사례 가이드 전달

공격 도중

공격에 대한 대응조치

공격 이후

사후 분석

AWS Shield Advanced



디도스 방어


연계

AWS 청구 보호

AWS 청구 보호

디도스 공격으로 인한 스케일링 비용을 AWS가 흡수

• Amazon CloudFront

• Elastic Load Balancer

• Application Load Balancer

• Amazon Route 53

AWS DDoS Shield: 이용 요금

• 약정기간 없음

• 추가 비용 없음

• 1 년 약정 기간

• 월간 기본 이용 요금: $3,000

• 데이터 전송 요금

데이터 전송 요금 ($ per GB)

CloudFront ELB

First 100 TB $0.025 $0.050

Next 400 TB $0.020 $0.040

Next 500 TB $0.015 $0.030

Next 4 PB $0.010 Contact Us

Above 5 PB Contact Us Contact Us


https://aws.amazon.com/contact-us/aws-sales/



AWS DDoS Shield: 선택 방법

• 대부분의 일상적인 디도스공격의 방어를 위해

• AWS 상의 디도스 방어를 강화하기 위한 도구 및 모범사례들을 이용하고자 할 때

• 좀더 규모가 크고 복잡한 형태의공격에 대한 추가적인 보호를 위해

• 공격에 대한 가시성 확보를 위해

• 공격으로 인한 손해를 회피하기위해

• 24X7 기반으로 디도스 전문사에게 복잡한 케이스들을 요청하기위해


AWS Shield: 시작하기

• 자동으로 적용됨 • AWS 콘솔을 통해 시작


감사합니다

Technology

AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)