Shield
는 DDoS
공격으로부터 AWS의 애플리케이션을 보호합니다.
Shield
는 Shield Standard
와 Shield Advanced
로 나뉘는데, Shield Standard
는 AWS에서 애플리케이션 리소스(EC2
, ELB
, CloudFront
, Route 53
)가 실행되면 무료
로 작동합니다. 뿐만 아니라, Shield
는 DDoS
이벤트에 대해 아래와 같이 좀 더 가시적으로 명확하고 이해하기 쉽게 보여줍니다.
Shield Standard
는 웹 사이트나 애플리케이션을 대상으로 가장 흔하고, 자주 발생하는 네트워크 및 전송 계층(3, 4계층)
DDoS 공격을 방어합니다.
Shield Advanced
는 3 ~ 7계층의 DDoS
공격을 커버하고, 애플리케이션 계층(7계층)에 대한 공격을 자동으로 대응하도록 할 수 있습니다. 7계층을 커버하는 특성 상 WAF와 역할이 겹치면서 WAF와 통합될 수 있습니다. Route 53 상태 확인
을 사용해 이벤트를 탐지해 탐지의 오작동을 완화하고 더 빠른 탐지가 가능하게 됩니다. 그리고 탐지를 바탕으로 정상화 또는 비정상화 여부를 경보로 알려줍니다. 마지막으로 DDoS
공격이 발생했을 때 SRT
라는 AWS DDoS 대응팀
의 도움을 받을 수 있습니다.
Shield Advanced
는 연간 구독을 해야 하고 월 $3,000
의 기본 비용이 발생합니다. 여기에 추가적으로 리소스 별로 Shield Advanced
를 거치는 데이터 전송 사용료를 지불하게 됩니다.
WAF
는 Shield
보다 상위 레벨에서의 서비스를 제공합니다. 사용자의 애플리케이션이나 API를 SQL 주입
, XSS(악성 스크립트 삽입)
과 같은 일반적인 위협으로부터 보호합니다. Shield
와는 다르게 WAF
는 사용하기 위해 별도로 켜줘야 합니다.
보안 강화를 위해 Shield Standard
를 무료로 사용하면서 WAF
를 켜주면 넓은 영역의 계층이 커버됩니다.