VPC 서브넷에 대한 계층적 보안 접근 방식 전략 결정, 엣지 서비스에서 지연 시간 및 보안 해결
ㅇ AWS 엣지
ㅇ 엣지 로케이션
- AWS 서비스 요청자에 가장가까이 있는 지점
- AWS 백본을 사용해 리전에 연결
- 요청 수신하며, 더 빠른 전송위해 콘텐츠 사본을 캐싱
ㅇ 콘텐츠 전송 네트워크
- 인프라를 전 세계 복제하는 것은 불가능 or 비용 비효율적
-> 웹콘텐츠의 캐시된 사본을 고객에게 제공하기 위해 엣지 로케이션의 글로벌 네트워크 사용 가능
- CDN은 고객 or 발신 요청 위치에 가장 가까운엣지 로케이션 사용
ㅇ Amazon CloudFront
- 웹 사이트, API, 동영상 콘텐츠 또는 기타 웹 자산의 전송을 가속화
- 지연 시간 및 처리량을 위해 네트워크 계층 최적화와 함께 캐시 동장 최적화를 위한 강력한 유연성 제공
ㅇ CloudFront 캐싱
- 요청이 최적의 엣지 로케이션으로 라우팅
- 캐시되지 않은 콘텐츠가 오리진으로부터 검색
- 오리진 콘텐츠가 캐싱을 위해 CloudFront 엣지 로케이션으로 전송
- 이미 엣지 로케이션에 있으면 CloudFront가 즉시 제공
- 데이터가 사용자에게 전송
ㅇ CloudFront 구성
- 오리진 서버 지정
- 오리진 서버는 객체의 최종 원본 버전 저장
- 하나 이상의 S3 버킷이나 HTTP 서버를 오리진 서버로 구성
- CloudFront 스트리민 배포 생성
- (선택) 함수 연결, 도메인 추가 등...
ㅇ Global Accelerator
- 글로벌 사용자에게 제공하는 애플리케이션의 가용성과 성능을 개선하는 네트워킹 서비스
- AWS 글로벌 네트워크 사용
- 엔드포인트 상태 지속적 모니터링, 가장 가까운 엔드포인트로 트래픽 라우팅825
ㅇ DDoS 공격
- 다수의 오염된 시스템이 같은 대상에 많은 양의 트래픽으로 서비스 장애를 일으키려는 공격
- 추가 호스트를 활용해 대상에 대한 요청 증대시켜 최대 용량에 도달하게해 사용하지 못하도록 함
ㅇ OSI 계층 공격
-
일반적으로 DDoS 공격은네트워크, 전송, 표현 및 애플리케이션 계층에서 많이 발생 (3,4,6,7)
-
인프라 계층 공격
- 3,4 계층에대한 공격으로 가장 일반적
- 네트워크 또는 애플리케이션 서버 용량에 과부하가 목적
- 감지하기 쉬움
-
애플리케이션 계층 공격
- 7 계층, 애플리케이션 자체를 표적으로
- 애플리케이션 특정 기능 오버로드하여 적법한 사용자에게 응답하지 않거나 사용할 수 없도록
ㅇ Shield Standard
- 상시 네트워크 흐름 모니터링 제공
- AWS 서비스로 들어오는 트래픽 검사, 악성 트래픽 실시간 탐지
ㅇ 액세스 제어 구성 요소
- 웹 ACL: AWS 리소스 집합 보호,
- 규칙: 각 규칙에는 검사 기준 정의문과 수행할 작업
- 규칙 그룹:
- 규칙 구문: 웹 요청 검사하는 방법을 지시하는 규칙의 일부
- IP 집합: 규칙 구문에서 사용할 IP 주소, 범위 모음
- 정규식 패턴 집합: 규칙 구문에서 사용할 정규 표현식 모음
ㅇ AWS Firewall Manager
- AWS WAF 및 VPC 보안 그룹의 운영 및 유지 관리 태스크 단순화
-계정 및 리소스 수가 많은 경우
- 지속적으로 새 애플리케이션 생성되는 경우
- 조직 전체의 위협에 대한 가시성
ㅇ Outposts
- AWS Cloud 를 온프레미스 데이터 센터로 확장
- 각 구성에서 EC2 인스턴스와 EBS 볼륨 혼합
- outposts에서 리소스 생성해 온프레미스 데이터 및 애플리케이션과 근접해 실행해야하는 지연 시간 짧은 워크로드 지원 가능