home
SAA-C03

[security] AWS Shield

수많은 곳에서 한꺼번에 몰려드는 DDoS. WAF와는 다른 층위에서 이 물량 공세를 막아내는 Shield.

L7 웹 공격은 waf.md, 여기서는 L3/L4 중심의 DDoS 방어를 다룬다. 둘은 짝으로 이해한다.

One-Line Summary

AWS ShieldDDoS(분산 서비스 거부) 공격을 완화하는 서비스로, **Standard(무료·자동)**와 Advanced(유료·구독) 두 등급이 있다. Standard는 모든 AWS 계정에 자동 적용돼 흔한 L3/L4 볼류메트릭 DDoS를 막고, Advanced는 대규모 공격 방어 + DDoS 대응팀(SRT) + 요금 급증 보호 + WAF 연계를 제공한다. 시험에서는 Standard vs Advanced 차이 / 언제 Advanced가 필요한가 / WAF·Route 53·CloudFront와의 관계 / DDoS 계층(L3/4 vs L7) 이 핵심이다.

뭔지 (What / Why) — DDoS가 뭐고 왜 SG/NACL로 못 막나

DDoS는 수많은 출발지에서 트래픽·요청을 쏟아부어 정상 사용자가 서비스를 못 쓰게 만드는 공격이다. 핵심은 "내용이 악의적"인 게 아니라 물량 자체가 공격이라는 점이다.

  • SG/NACL은 IP·포트 규칙이라, 수백만 개의 서로 다른(또는 위조된) IP에서 오는 정상처럼 보이는 트래픽을 일일이 막을 수 없다.
  • 게다가 볼류메트릭 공격은 네트워크 대역폭 자체를 포화시키므로, 내 인스턴스 앞에서 규칙으로 거르기 전에 AWS 네트워크 경계(엣지)에서 흡수해야 한다.

그래서 Shield는 AWS 글로벌 엣지 인프라 수준에서 동작한다.

공격 트래픽(수백만 소스) ─▶ [AWS 엣지 / Shield]  ← 여기서 흡수·필터 (대역폭·용량으로)
                                    │ 정상만
                                    ▼
                            CloudFront / R53 / ELB → 오리진

DDoS 공격 계층 — Shield와 WAF의 분담 (핵심)

계층공격 예시담당
L3 (네트워크)IP 스푸핑, ICMP/reflection floodShield
L4 (전송)SYN flood, UDP reflection(NTP·DNS 증폭)Shield
L7 (애플리케이션)HTTP flood, 느린 요청(Slowloris)WAF (rate-based) + Shield Advanced 연계

원리: L3/L4 공격은 HTTP 요청을 완성하지 않는 물량·연결 공격이라 WAF가 볼 대상이 없다 → Shield가 엣지에서 처리. L7 HTTP flood는 완성된 요청이 폭주하는 것이라 WAF rate-based rule이 주력, Advanced가 이를 자동 연계한다. (자세한 L7/L4 원리는 waf.md 참조.)

Standard vs Advanced (가장 중요)

항목Shield StandardShield Advanced
비용무료·자동(모든 계정)월 $3,000 구독(+ 데이터 요금), 조직 단위
방어 범위흔한 L3/L4 볼류메트릭·상태공격대규모·정교한 DDoS까지
대상CloudFront, Route 53, ELB 등 자동+ EIP, Global Accelerator, ALB 등 명시 등록
SRT(Shield Response Team)✔ 24/7 전문가 지원·공격 중 대응
요금 급증 보호(Cost protection)✔ DDoS로 인한 스케일링 요금 환급
WAF 연계별도WAF 요금 포함, 자동 L7 완화 규칙
실시간 가시성기본 지표✔ 상세 진단·공격 이벤트·리포트
자동 완화(L7)✔ 자동 애플리케이션 계층 완화

언제 Advanced를 선택하나 (시험 포인트)

  • 미션 크리티컬해서 다운타임 비용이 매우 큼(금융·대형 커머스).
  • DDoS 요금 급증 리스크를 헤지하고 싶음(cost protection).
  • 공격 시 전문가(SRT) 지원·상세 리포트가 필요.
  • 그 외 일반적인 경우엔 Standard로 충분(무료·자동).

"추가 비용 없이 기본 DDoS 방어" → Standard. "SRT 지원 / 요금 보호 / 대규모 공격 대비" → Advanced.

아키텍처 모범 — Shield를 잘 쓰는 설계 (빈출)

DDoS에 강한 구조의 공통점은 공격을 엣지에서 흡수하고, 오리진을 숨기는 것이다.

사용자 ─▶ [Route 53] ─▶ [CloudFront + WAF (+Shield)] ─▶ [ALB] ─▶ EC2(프라이빗)
          DNS 계층        엣지 캐시·L7 필터                오리진 은닉
  • CloudFront / Route 53 / Global Accelerator를 앞단에 두면 Shield가 붙는 글로벌 엣지로 공격을 분산·흡수한다.
  • 오리진(EC2/ALB)을 프라이빗으로 숨기고 SG로 CloudFront/ALB에서만 오도록 → 공격자가 오리진 IP를 직접 못 침.
  • WAF(rate-based)로 L7 flood, Auto Scaling으로 흡수 여력을 함께 구성.

시험 트리거: "DDoS 완화 + 오리진 보호" → CloudFront/Route 53 앞단 + WAF + Shield. "전 세계 사용자 대상 비-HTTP(게임/IoT) DDoS 완화" → Global Accelerator + Shield Advanced.

Common Wrong Directions

오답 방향왜 부족한가
DDoS를 SG/NACL로 막기물량·위조 IP·대역폭 포화 → 엣지의 Shield
볼류메트릭(L3/4) DDoS를 WAF로WAF는 L7 → Shield
L7 HTTP flood를 Shield만으로완성된 요청 폭주 → WAF rate-based(Advanced가 연계)
기본 DDoS 방어에 Advanced 필수라고 봄Standard가 무료·자동 — 대부분 충분
Advanced만 켜면 자동 보호 완성EIP/ALB/GA 등 보호 대상 등록 필요
DDoS 요금 급증을 감수Advanced의 cost protection으로 환급

Exam Triggers

문제에서 이런 표현이 나오면떠올릴 것
"protect against DDoS, no extra cost"Shield Standard
"24/7 DDoS experts / SRT support"Shield Advanced
"refund scaling charges caused by DDoS"Shield Advanced (cost protection)
"large/sophisticated DDoS, mission-critical"Shield Advanced
"SYN/UDP flood, volumetric (L3/L4)"Shield
"HTTP flood (L7)"WAF rate-based (+ Shield Advanced)
"DDoS 완화 + 오리진 숨기기"CloudFront/Route 53 + WAF + Shield
"non-HTTP global app DDoS (게임/IoT)"Global Accelerator + Shield Advanced

Memory Sentence

Shield는 엣지에서 DDoS를 흡수한다. Standard는 무료·자동으로 L3/L4 볼류메트릭을, Advanced($3k/월)는 대규모 공격 + SRT + 요금 급증 보호 + WAF 연계를 제공한다. L3/L4는 Shield, L7 HTTP flood는 WAF rate-based가 주력이며, 모범 설계는 CloudFront/Route 53 앞단 + WAF로 공격을 엣지에서 막고 오리진을 숨기는 것.

References

댓글

아직 댓글이 없습니다.