WAF는 웹 애플리케이션 앞단에서 HTTP/HTTPS 요청을 검사해서 공격 트래픽을 차단하는 보안 서비스이다. WAF는 인프라 아키텍처에서 외부 트래픽이 들어오는 가장 앞단에 주로 배치한다.
[특징]
L7(애플리케이션 계층)에 관련된 공격 트래픽을 막는다
TCP/UDP는 L4(전송 계층)이므로, WAF가 TCP/UDP에 관련된 공격은 막을 수 없다.
[기능]
IP 기반 차단 및 허용 기능 (IP Set 활용)
특정 IP 또는 IP 대역 차단
회사 내부 IP만 허용 가능
국가 기반 차단
특정 국가에서 오는 요청 차단 (ex. 해외 접속 차단)
SQL Injection, XSS 방어
✅ Shield
Shield는 DDos를 자동으로 탐지/방어해주는 보안 서비스이다.
✅ GuardDuty
AWS GuardDuty는 계정에 관련된 해킹 공격을 모니터링해서 탐지해주는 서비스이다.
[특징]
‘직접적인 대응’은 하지 않고, 오직 ‘모니터링’만 한다.
✅ Macie
AWS Macie는 S3에 저장된 민감한 데이터를 자동으로 찾아주는 서비스이다.
[암기 Tip]
머신러닝(Machine Learning)을 활용해 개인 정보와 같이 민감한 데이터(Privacy)를 자동으로 찾아준다.
✅ CloudFront
CloudFront는 컨텐츠(이미지, 파일 등)를 캐싱해서 전세계 사용자에게 빠른 속도로 컨텐츠를 제공하는 서비스이다.
[부가 기능]
OAC(Origin Access Control) : CloudFront만 원본(Origin)에 접근할 수 있도록 하는 최신 보안 방식을 의미한다.
캐시 무효화(Invalidation) : 배포 직후 최신 결과를 보여줘야 할 때, 강제로 캐시를 삭제하는 기능이다.
멀티 오리진(Multi-origin) : 하나의 CloudFront 배포 안에서 여러 개의 원본(Origin)을 가질 수 있는 기능이다. 예를 들어, /api/*로 요청을 보내면 ELB의 원본 데이터로 응답을 할 수 있고, /images/*로 요청을 보냈을 때는 S3의 원본 데이터로 응답하게끔 할 수 있다.
