
[security] AWS Shield
수많은 곳에서 한꺼번에 몰려드는 DDoS. WAF와는 다른 층위에서 이 물량 공세를 막아내는 Shield.
L7 웹 공격은 waf.md, 여기서는 L3/L4 중심의 DDoS 방어를 다룬다. 둘은 짝으로 이해한다.
One-Line Summary
AWS Shield는 DDoS(분산 서비스 거부) 공격을 완화하는 서비스로, **Standard(무료·자동)**와 Advanced(유료·구독) 두 등급이 있다. Standard는 모든 AWS 계정에 자동 적용돼 흔한 L3/L4 볼류메트릭 DDoS를 막고, Advanced는 대규모 공격 방어 + DDoS 대응팀(SRT) + 요금 급증 보호 + WAF 연계를 제공한다. 시험에서는 Standard vs Advanced 차이 / 언제 Advanced가 필요한가 / WAF·Route 53·CloudFront와의 관계 / DDoS 계층(L3/4 vs L7) 이 핵심이다.
뭔지 (What / Why) — DDoS가 뭐고 왜 SG/NACL로 못 막나
DDoS는 수많은 출발지에서 트래픽·요청을 쏟아부어 정상 사용자가 서비스를 못 쓰게 만드는 공격이다. 핵심은 "내용이 악의적"인 게 아니라 물량 자체가 공격이라는 점이다.
- SG/NACL은 IP·포트 규칙이라, 수백만 개의 서로 다른(또는 위조된) IP에서 오는 정상처럼 보이는 트래픽을 일일이 막을 수 없다.
- 게다가 볼류메트릭 공격은 네트워크 대역폭 자체를 포화시키므로, 내 인스턴스 앞에서 규칙으로 거르기 전에 AWS 네트워크 경계(엣지)에서 흡수해야 한다.
그래서 Shield는 AWS 글로벌 엣지 인프라 수준에서 동작한다.
공격 트래픽(수백만 소스) ─▶ [AWS 엣지 / Shield] ← 여기서 흡수·필터 (대역폭·용량으로)
│ 정상만
▼
CloudFront / R53 / ELB → 오리진
DDoS 공격 계층 — Shield와 WAF의 분담 (핵심)
| 계층 | 공격 예시 | 담당 |
|---|---|---|
| L3 (네트워크) | IP 스푸핑, ICMP/reflection flood | Shield |
| L4 (전송) | SYN flood, UDP reflection(NTP·DNS 증폭) | Shield |
| L7 (애플리케이션) | HTTP flood, 느린 요청(Slowloris) | WAF (rate-based) + Shield Advanced 연계 |
원리: L3/L4 공격은 HTTP 요청을 완성하지 않는 물량·연결 공격이라 WAF가 볼 대상이 없다 → Shield가 엣지에서 처리. L7 HTTP flood는 완성된 요청이 폭주하는 것이라 WAF rate-based rule이 주력, Advanced가 이를 자동 연계한다. (자세한 L7/L4 원리는 waf.md 참조.)
Standard vs Advanced (가장 중요)
| 항목 | Shield Standard | Shield Advanced |
|---|---|---|
| 비용 | 무료·자동(모든 계정) | 월 $3,000 구독(+ 데이터 요금), 조직 단위 |
| 방어 범위 | 흔한 L3/L4 볼류메트릭·상태공격 | 대규모·정교한 DDoS까지 |
| 대상 | CloudFront, Route 53, ELB 등 자동 | + EIP, Global Accelerator, ALB 등 명시 등록 |
| SRT(Shield Response Team) | ✕ | ✔ 24/7 전문가 지원·공격 중 대응 |
| 요금 급증 보호(Cost protection) | ✕ | ✔ DDoS로 인한 스케일링 요금 환급 |
| WAF 연계 | 별도 | ✔ WAF 요금 포함, 자동 L7 완화 규칙 |
| 실시간 가시성 | 기본 지표 | ✔ 상세 진단·공격 이벤트·리포트 |
| 자동 완화(L7) | ✕ | ✔ 자동 애플리케이션 계층 완화 |
언제 Advanced를 선택하나 (시험 포인트)
- 미션 크리티컬해서 다운타임 비용이 매우 큼(금융·대형 커머스).
- DDoS 요금 급증 리스크를 헤지하고 싶음(cost protection).
- 공격 시 전문가(SRT) 지원·상세 리포트가 필요.
- 그 외 일반적인 경우엔 Standard로 충분(무료·자동).
"추가 비용 없이 기본 DDoS 방어" → Standard. "SRT 지원 / 요금 보호 / 대규모 공격 대비" → Advanced.
아키텍처 모범 — Shield를 잘 쓰는 설계 (빈출)
DDoS에 강한 구조의 공통점은 공격을 엣지에서 흡수하고, 오리진을 숨기는 것이다.
사용자 ─▶ [Route 53] ─▶ [CloudFront + WAF (+Shield)] ─▶ [ALB] ─▶ EC2(프라이빗)
DNS 계층 엣지 캐시·L7 필터 오리진 은닉
- CloudFront / Route 53 / Global Accelerator를 앞단에 두면 Shield가 붙는 글로벌 엣지로 공격을 분산·흡수한다.
- 오리진(EC2/ALB)을 프라이빗으로 숨기고 SG로 CloudFront/ALB에서만 오도록 → 공격자가 오리진 IP를 직접 못 침.
- WAF(rate-based)로 L7 flood, Auto Scaling으로 흡수 여력을 함께 구성.
시험 트리거: "DDoS 완화 + 오리진 보호" → CloudFront/Route 53 앞단 + WAF + Shield. "전 세계 사용자 대상 비-HTTP(게임/IoT) DDoS 완화" → Global Accelerator + Shield Advanced.
Common Wrong Directions
| 오답 방향 | 왜 부족한가 |
|---|---|
| DDoS를 SG/NACL로 막기 | 물량·위조 IP·대역폭 포화 → 엣지의 Shield |
| 볼류메트릭(L3/4) DDoS를 WAF로 | WAF는 L7 → Shield |
| L7 HTTP flood를 Shield만으로 | 완성된 요청 폭주 → WAF rate-based(Advanced가 연계) |
| 기본 DDoS 방어에 Advanced 필수라고 봄 | Standard가 무료·자동 — 대부분 충분 |
| Advanced만 켜면 자동 보호 완성 | EIP/ALB/GA 등 보호 대상 등록 필요 |
| DDoS 요금 급증을 감수 | Advanced의 cost protection으로 환급 |
Exam Triggers
| 문제에서 이런 표현이 나오면 | 떠올릴 것 |
|---|---|
| "protect against DDoS, no extra cost" | Shield Standard |
| "24/7 DDoS experts / SRT support" | Shield Advanced |
| "refund scaling charges caused by DDoS" | Shield Advanced (cost protection) |
| "large/sophisticated DDoS, mission-critical" | Shield Advanced |
| "SYN/UDP flood, volumetric (L3/L4)" | Shield |
| "HTTP flood (L7)" | WAF rate-based (+ Shield Advanced) |
| "DDoS 완화 + 오리진 숨기기" | CloudFront/Route 53 + WAF + Shield |
| "non-HTTP global app DDoS (게임/IoT)" | Global Accelerator + Shield Advanced |
Memory Sentence
Shield는 엣지에서 DDoS를 흡수한다. Standard는 무료·자동으로 L3/L4 볼류메트릭을, Advanced($3k/월)는 대규모 공격 + SRT + 요금 급증 보호 + WAF 연계를 제공한다. L3/L4는 Shield, L7 HTTP flood는 WAF rate-based가 주력이며, 모범 설계는 CloudFront/Route 53 앞단 + WAF로 공격을 엣지에서 막고 오리진을 숨기는 것.
References
댓글
아직 댓글이 없습니다.