AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)
6 likes5,914 views
AWS CLOUD 2017 - AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성 (임기성 솔루션즈 아키텍트)
- 1. AWS Shield를 통한 DDoS 대비 복원성 강한 AWS 보안 아키텍처 구성
- 2. 목차 디도스 공격이란? 디도스 공격 대응의 어려움 디도스 방어를 위한 AWS의 접근방법 관리형 디도스 방어 서비스로서의 AWS Shield 소개 Shield Advanced 데모
- 3. 디도스 공격이란?
- 4. 디도스 공격이란? Distributed Denial Of Service
- 5. 디도스 공격의 유형
- 6. 디도스 공격의 유형 물량기반 디도스 공격 정상적으로 처리할 수 있는 수준을 상회하는 트래픽을 전송하여 네트웍 기능을 마비시킴 (e.g., UDP reflection attacks)
- 7. 디도스 공격의 유형 상태 소진 형 디도스 공격 프로토콜 특성을 악용하여 방화벽, IPS, 로드밸런서 같은 시스템을 무력화 (e.g., TCP SYN flood)
- 8. 디도스 공격의 유형 어플리케이션 레이어 기반 디도스 공격 정상 요청으로 가장하지만, 방어수단을 우회하고 어플리케이션 리소스를 소진하기 위한 악의적인 요청을 통한 공격 (e.g., HTTP GET, DNS query floods)
- 9. 디도스 공격의 트랜드 Volumetric State exhaustion Application layer 65% 물량기반 17% 상태 소진형 18% 어플리케이션 레이어
- 10. 디도스 공격의 트랜드 Volumetric State exhaustion Application layer 65% 물량기반 17% 상태 소진형 18% 어플리케이션 레이어 SSDP reflection 공격이 가장 흔한 유형 Reflection 공격은 분명한 시그니쳐가 있으며, 가용 밴드위쓰를 전부 점유하는 형태임
- 11. 디도스 공격의 트랜드 Volumetric State exhaustion Application layer 65% 물량기반 17% 상태 소진형 18% 어플리케이션 레이어 다른 유형의 물량 기반 공격들: NTP reflection, DNS reflection, Chargen reflection, SNMP reflection
- 12. 디도스 공격의 트랜드 Volumetric State exhaustion Application layer 65% 물량기반 17% 상태 소진형 18% 어플리케이션 레이어 정상적인 커넥션 시도처럼 가장한 SYN flood 흔히 대규모로 발생하며, 일반 사용자의 정상적인 이용을 방해함.
- 13. 디도스 공격의 트랜드 Volumetric State exhaustion Application layer 65% 물량기반 17% 상태 소진형 18% 어플리케이션 레이어 정상적인 DNS 요청을 가장한 DNS query flood 보통, DNS서버의 가용성을 훼손하기 위해 수시간 동안 지속됨.
- 14. 디도스 공격의 트랜드 Volumetric State exhaustion Application layer 65% 물량기반 17% 상태 소진형 18% 어플리케이션 레이어 다른 유형의 어플리케이션 레이어 공격들: HTTP GET flood, Slowloris
- 15. 디도스 공격 대응의 어려움
- 16. 디도스 공격 대응의 어려움 적용이 어려움 복잡한 구성절차 충분한 밴드위쓰 확보 어플리케이션 아키텍쳐 재 구성
- 17. 디도스 공격 대응의 어려움 수작업 대응 과정 공격 대응에 필요한 관계자 참여 과정 원격에 있는 정제장소를 경유토록 트래픽 라우팅 변경 대응 시간의 증가 전통적인 데이터센터
- 18. 디도스 공격 대응의 어려움 트래픽 라우팅 변경 = 사용자 지연시간 증가 전통적인 데이터센터
- 19. 디도스 공격 대응의 어려움 비싼 사용료
- 20. 디도스 방어를 위한 AWS의 접근방법
- 21. 디도스 방어를 위한 AWS의 접근방법 https://d0.awsstatic.com/International/ko_KR/whitepapers/DDoS_White_Paper.pdf
- 22. AWS가 지향하는 목표는… 획일적인 대규모 변경 필 요성 제거 통상적인 공격 형태에 대한 자동화된 보호 가용성에 대한 확신 높은 가용성을 제공하는 AWS 서비스들
- 23. AWS에 적용된 디도스 방어체계 • AWS 글로벌 인프라에 적용 • 상시 운영, 외부 라우팅 없이 신속한 방어 • 여분의 AWS 데이터 센터 인터넷 연결성
- 24. AWS에 적용된 디도스 방어체계 • 가장 흔한 공격 유형들 방어 • SYN/ACK Floods, UDP Floods, Refection attacks 등. • 별도 비용 없음 디도스 대응 시스템 디도스 공격 사용자
- 25. 고객들은 여전히… AWS가 고객별로 디도스 공격을 방어해 주나요? 대규모로 디도스 공격이 발생하면 어찌 됩니까? 공격받을 때 어떻게 알 수 있죠? AWS가 어플리케이션 레이어 공격도 방어합니까? 공격에 따른 스케일링 비용이 걱정되요 디도스 전문가와 상의하고 싶어요.
- 26. 관리형 디도스 방어 서비스로서의 AWS Shield 소개
- 27. AWS Shield Standard Protection Advanced Protection 추가비용 없이 모든 AWS 고객에게 적용됨 추가적인 보호와 기능 및 잇점을 제공하는 비용 기반 서비스.
- 28. AWS Shield AWS 연계성 인프라 구성을 변경 할 필요없이 디도스 방어 기능 적용 가능 적절성 비용과 가용성 간에 저울질할 필요없음 유연성 여러분의 어플리케 이션에 대한 맞춤식 보호 상시탐지 및 대응 어플리케이션 지연시간의 영향 최소화 4가지 주요 특징들…
- 29. AWS Shield Standard 레이어 3/4 보호 자동 탐지 및 대응 가장 흔한 공격유형에 대한 방어 (SYN/UDP Floods, Reflection Attacks, 등) AWS 서비스에 밀결합 레이어 7 보호 레이어 7 디도스 공격 대응을 위해 AWS WAF 활용 셀프서비스 및 사용량 과금
- 30. AWS Shield Standard AWS상에서 운영되는 여러분들의 어플리케이션에 대한 보다 나은 보호 • 독자적인 BlackWatch 시스템을 이용한 향상된 방어 • 추가적인 방어 여력 • 탐지 및 방어 수준의 지속적인 향상에 대한 약속 • 추가비용 부담 없음
- 31. AWS Shield Advanced Application Load Balancer Classic Load Balancer Amazon CloudFront Amazon Route 53 다음 서비스들에 적용 …
- 32. AWS Shield Advanced 다음 리전에서 이용 가능 … US East (N. Virginia) us-east-1 US West (Oregon) us-west-2 EU (Ireland) eu-west-1 Asia Pacific (Tokyo) ap-northeast-1
- 33. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 34. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 35. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 36. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 37. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 38. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 39. 상시 모니터링 및 탐지 네트웍 플로우 모니터링 어플리케이션 트래픽 모니터링
- 40. 상시 모니터링 및 탐지 시그니쳐 기반 탐지 휴리스틱 기반 비정상 상태 탐지 기본 패턴 비교
- 41. 상시 모니터링 및 탐지 다음과 같은 속성을 기반으로 비정상 상태 탐지: • 소스 IP • 소스 ASN • Traffic levels • 검증된 소스 휴리스틱 기반 비정상 상태 탐지
- 42. 상시 모니터링 및 탐지 평상시 트래픽 패턴을 기준으로 상시 비교: • 초당 HTTP 요청 수 • 소스 IP 주소 • URLs • User-Agents 기본 패턴 비교
- 43. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 44. 고도화된 디도스 방어 레이어 7 어플리케이션 방어 레이어 3/4 인프라 방어
- 45. 고도화된 디도스 방어 레이어 7 어플리케이션 방어 레이어 3/4 인프라 방어
- 46. 레이어 3/4 인프라 방어 고도화된 방어 기법들 필터링 규칙 점수 기반 트래픽 처리 순위화 고도화된 라우팅 정책
- 47. 레이어 3/4 인프라 방어 비정상적인 TCP패킷을 자동으로 필터링: • IP checksum • TCP valid flags • UDP payload length • DNS request validation 필터링 규칙
- 48. 레이어 3/4 인프라 방어 낮은 의심도의 속성들 • 정상적인 패킷 혹은 요청 헤더 • Traffic composition and volume is typical given its source • 목적지가 검증된 트래픽 높은 의심도의 속성들 • 의심스러운 패킷 혹은 요청 헤더 • 헤더 속성의 트래픽 복잡도 • 트래픽 소스와 볼륨의 복잡도 • 트래픽 소스의 나쁜 평판 • 목적지가 틀린 트래픽 • ‘cache-busting’속성을 가진 요청 점수 기반 트래픽 처리 순위화
- 49. 레이어 3/4 인프라 방어 • 인라인 방식의 점검 및 점수화 • 낮은 순위(공격으로 의심되는) 트래픽에 대한 우선 제거 • 오탐 회피와 적법한 사용자 보호 점수 기반 트래픽 처리 순위화 높은 의심도 패킷 드랍 낮은 의심도 패킷 유지
- 50. 레이어 3/4 인프라 방어 • 분산된 정화 처리 및 밴드위쓰 용량 • 대규모 공격을 흡수할 수 있는 자동화된 라우팅 정책 • 필요시, 수작업 트래픽 처리 고도화된 라우팅 정책
- 51. 고도화된 디도스 방어 레이어 7 어플리케이션 방어 레이어 3/4 인프라 방어
- 52. AWS WAF – 레이어 7 어플리케이션 방어 커스텀 규칙 기반 웹 트래픽 필터링 악의적인 요청 차단 액티브 모니터링과 튜닝
- 53. AWS WAF – 레이어 7 어플리케이션 방어 3 가지 이용 형태 셀프 서비스 디도스 전문가 에게 요청 선제적으로 DRT팀 개입
- 54. AWS WAF – 레이어 7 어플리케이션 방어 • 추가 비용 부담 없이 AWS WAF 이용 셀프서비스
- 55. AWS WAF – 레이어 7 어플리케이션 방어 1. AWS DDoS Response Team (DRT) 참여 요청 2. DRT팀에 의한 공격 유형 및 규모 분석 3. DRT팀 도움을 통해 고객이 AWS WAF 룰 생성 하고 대처 디도스 전문가 참여
- 56. AWS WAF – 레이어 7 어플리케이션 방어 1. AWS DDoS Response Team (DRT)에 의한 상시 모니터링 2. DRT팀이 선제적으로 디도스 공격에 대응 3. DRT팀에 의한 AWS WAF 룰 적용 (사전에 권한 설정 필요함) 선제적인 DRT 개입
- 57. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 58. 공격 통보 및 리포팅 공격 모니터링 및 탐지 • Amazon CloudWatch 를 통해 공격에 대한 실시간 통보 • 준 실시간 메트릭과 공격 분석을 위한 패킷 캡춰 • 과거 공격 이력 리포트
- 59. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 60. 24x7 기반 DDoS 대응 팀 연계 • 중대하고 급박한 우선순위의 케이스에 대해 신속 하게 답변이 제공될 수 있도록 디도스 전문가와 직접 연결됨 • 복잡한 케이스를 AWS 및 아마존을 비롯한 기타 서비스들을 보호하고 있는 경험많은 AWS 디도스 대응팀(DRT)으로 바로 요청할 수 있음.
- 61. 24x7 기반 DDoS 대응 팀 연계 공격 이전 선제적으로 컨설팅과 모범사례 가이드 전달 공격 도중 공격에 대한 대응 조치 공격 이후 사후 분석
- 62. AWS Shield Advanced 상시 모니터링 및 탐지 고도화된 L3/4 & L7 디도스 방어 공격 통보 및 리포팅24x7 기반 DDoS 대응 팀 연계 AWS 청구 보호
- 63. AWS 청구 보호 디도스 공격으로 인한 스케일링 비용을 AWS가 흡수 • Amazon CloudFront • Elastic Load Balancer • Application Load Balancer • Amazon Route 53
- 64. AWS DDoS Shield: 이용 요금 • 약정기간 없음 • 추가 비용 없음 • 1 년 약정 기간 • 월간 기본 이용 요금: $3,000 • 데이터 전송 요금 데이터 전송 요금 ($ per GB) CloudFront ELB First 100 TB $0.025 $0.050 Next 400 TB $0.020 $0.040 Next 500 TB $0.015 $0.030 Next 4 PB $0.010 Contact Us Above 5 PB Contact Us Contact Us Standard Protection Advanced Protection
- 65. AWS DDoS Shield: 선택 방법 • 대부분의 일상적인 디도스 공격의 방어를 위해 • AWS 상의 디도스 방어를 강 화하기 위한 도구 및 모범사 례들을 이용하고자 할 때 • 좀더 규모가 크고 복잡한 형태의 공격에 대한 추가적인 보호를 위 해 • 공격에 대한 가시성 확보를 위해 • 공격으로 인한 손해를 회피하기 위해 • 24X7 기반으로 디도스 전문사에 게 복잡한 케이스들을 요청하기 위해 Standard Protection Advanced Protection
- 66. AWS Shield: 시작하기 • 자동으로 적용됨 • AWS 콘솔을 통해 시작 Standard Protection Advanced Protection
- 67. 감사합니다