Shield

Shield는 DDoS 공격으로부터 AWS의 애플리케이션을 보호합니다.

Shield는 Shield Standard와 Shield Advanced로 나뉘는데, Shield Standard는 AWS에서 애플리케이션 리소스(EC2, ELB, CloudFront, Route 53)가 실행되면 무료로 작동합니다. 뿐만 아니라, Shield는 DDoS 이벤트에 대해 아래와 같이 좀 더 가시적으로 명확하고 이해하기 쉽게 보여줍니다.

Shield Standard는 웹 사이트나 애플리케이션을 대상으로 가장 흔하고, 자주 발생하는 네트워크 및 전송 계층(3, 4계층) DDoS 공격을 방어합니다.

Shield Advanced는 3 ~ 7계층의 DDoS 공격을 커버하고, 애플리케이션 계층(7계층)에 대한 공격을 자동으로 대응하도록 할 수 있습니다. 7계층을 커버하는 특성 상 WAF와 역할이 겹치면서 WAF와 통합될 수 있습니다. Route 53 상태 확인을 사용해 이벤트를 탐지해 탐지의 오작동을 완화하고 더 빠른 탐지가 가능하게 됩니다. 그리고 탐지를 바탕으로 정상화 또는 비정상화 여부를 경보로 알려줍니다. 마지막으로 DDoS 공격이 발생했을 때 SRT라는 AWS DDoS 대응팀의 도움을 받을 수 있습니다.
Shield Advanced는 연간 구독을 해야 하고 월 $3,000의 기본 비용이 발생합니다. 여기에 추가적으로 리소스 별로 Shield Advanced를 거치는 데이터 전송 사용료를 지불하게 됩니다.

WAF(Web Application Firewall)

WAF는 Shield보다 상위 레벨에서의 서비스를 제공합니다. 사용자의 애플리케이션이나 API를 SQL 주입, XSS(악성 스크립트 삽입)과 같은 일반적인 위협으로부터 보호합니다. Shield와는 다르게 WAF는 사용하기 위해 별도로 켜줘야 합니다.

보안 강화를 위해 Shield Standard를 무료로 사용하면서 WAF를 켜주면 넓은 영역의 계층이 커버됩니다.