2021.01. 이장재 📧 cine0831@gmail.com 📂 https://github.com/jangjaelee 📒 http://www.awx.kr

Overview

AWS WAFv2(Web Application Firewall)은 CloudFront distribution, Amazon API Gateway(REST API), Application Load Balancer 또는 AWS AppSync(GraphQL API)에 전달되는 HTTP 및 HTTPS requests를 monitoring하여 요청이 허용되는 IP Address, Port, Query string value로부터 지정하는 조건에 따라 HTTP 403 status code로 요청에 응답하는 웹방화벽 입니다.

우리가 흔히 알고 있는 F/W(Firewall)이 L3/L4 Layer의 방어(IP와 port 차단)을 제공 한다면 WAF(웹방화벽)은 L7(HTTP header, HTTP body, URI strings, SQL Injection, Cross Site Scripting[XSS])을 이용한 공격을 방어 합니다.

개념 및 구성요소

Web ACL을 생성하면 하나 이상의 AWS Resource와 연결하여 사용 할 수 있으며, 보호가 가능한 Resource type은 Amazon CloudFront distribution, Amazon API Gateway(REST API), ALB(Application Load Balancer) 그리고 AWS AppSync GraphQL API 입니다.

AWS WAF를 구성하는 요소는 크게 아래와 같습니다.

• Web ACLs

  AWS Resource 집합을 보호하기 위한 단위 단위 이며, Rules을 추가하여 보호 전략을 정의 합니다. Rules은 웹 요청을 검사하기 위한 기준을 정의하고 기준과 일치하는 요청을 처리 하는 방법으로 deny(차단) 또는 allow(허용)을 지정합니다.

• Rules(규칙)

  각 rules은 검사 기준을 정의하는 설명과 웹 요청이 기준을 충족하는 경우 취할 조치가 포함됩니다. 기준을 충족하여 일치하게 되며, 해당 요청을 deny(차단) 또는 allow(허용) 하며 rules를 사용하여 일치하는 요청을 계산할 수도 있습니다.

• Rule Groups(규칙 그룹)

  rules를 개별적으로 사용 하거나 또는 재사용 가능한 rule gorups 안에서 사용 할 수 있습니다. AWS managed rules 그리고 AWS Marketplace sellers는 사용자가 사용 할 수 있는 manaed rule groups(관리형 규칙 그룹)을 제공 합니다.

• IP Sets(IP 세트)

  IP set은 rule statement(규칙문)에서 함께 사용 할 수 있는 IP address 및 IP address 범위의 모음을 제공 합니다.

• Regex pattern sets(정규식 패턴 세트)

  정규식 패턴 세트는 rule statement(규칙문)에서 함께 사용하려는 정규표현식 모음을 제공합니다. 정규식 패턴 세트에는 정규식 패턴이 하나 이상 포함되어야 하며 만약, 하나의 rule 안에서 정규식이 두 개 이상 포함 되어 사용 될 경우 OR로 일치하는 패턴끼리 결합해야 합니다.

• WCU (Web ACL capacity units)

  AWS WAF는 Web ACL 용량 단위(WCU)를 사용하여 rules, rule groups 그리고 web ACLs를 실행하기 위해 필요한 운영 리소스를 계산하고 제어 합니다. WAF는 rule gorups 및 web ACLs를 구성 할 때 WCU limit을 적용 합니다.

장점