[AWS] On-premise 서버 CloudFront+WAF 이용한 공격대응

안녕하세요. 회사에서 온프레미스 환경의 웹 서버가 공격 당하고있어 조치하는 방법으로 AWS와 상의하여 방법을 도출해낸것입니다. WAF장비, 기타 솔루션 등 금액이 비싸 해당 방법을 택했습니다.

 

Question
[상황]
홈페이지서버(remote server)에서 크리젠솔루션 webserver로 딘방향 통신 중 일반적이지
않은 웹요청 발생.
통상 1분에 10건의 웹요청이 발생하는데, 1분에 수백건의 웹요청이 발생함.

 

[조치]
현재 조치로는 공격 발생시 단순히 홈페이지서버 IP를 방화벽 차단하는 형태로 진행하고 있
으나
cloudFront + waf 사용하여 좀 더 효율적으로 예방하고자 함.

홈페이지 서버 IP를 원천적으로 막으면 안되는 상황. 즉, 허용되어야 하는 서버에서 위와 같
은 공격이 들어오는 경우
1. 특정 IP에서 설정한 시간(Ex.1분간) 동안 지정된 요청 수(Ex.20건)를 초과하는 웹 요청을
차단
2. 차단 후 설정한 시간(Ex. 60분) 이 후 차단된 요청을 허용.

WAF 에서 비율 기반 정책을 적용하여 상황을 대비. (다만, 설정한 시간은 5분으로 동작.
→ 5분 주기로 지정 요청 수 감지)

 

AWS WAF를 통해 Rule 생성 예제를 보여드리면 아래와 같습니다.

1. Rule builder를 통해 Rule 생성, Type을 Rate-based rule 로 지정

 

2. 5분 주기로 감지할 Rate limit 설정, 규칙이 적용될 IP 주소 디테일 설정, 감지 이후 Action 설정

AWS WAF - Rate-based rule statement 추가적으로 해당 기능 가이드 문서를 참고