[AWS] WAF

#AWS

WAF는 Web Application Firewall의 준말로, 말 그대로 웹용 방화벽을 제공하는 서비스다. OS에서 말하는 방화벽과는 다르다.

악의적인 DoS, DDoS 공격이나 기타 보안적으로 위험한 접근들을 차단하는 것을 도와준다.

보통 서버 앞단으로 노출되는 서비스인 Cloudfront, Application Load Balancer, API Gateway(REST), AppSync 정도에만 붙일 수 있다.

전문 WAF 업체들의 제품보다는 조금 부족한 점이 있지만, 그런대로 쓰기에는 충분하다는 것 같다.

비용

딱히 뭐 엄청나게 비싼건 아니라도 비용이 다닥다닥 잘 나간다.
ACL이나 규칙을 추가할때마다 고정금액이 좀 나가고, 또 요청이 들어온만큼 나오는데다

또 이런저런 특수옵션을 쓰면 골고루 뜯어간다.

자세한 것은 비용표를 참조하면 좋겠다.
https://aws.amazon.com/ko/waf/pricing/

ACL 생성하기

내가 기존에 쓰던 API Gateway에 한번 추가해보겠다.

create web acl 클릭

리전을 클릭하고, 이름을 써준 다음에, 어떤 리소스에 달 것인지를 고른다.

내 경우엔

그냥 Cloudfront를 연동했다.

그러고 나면 이렇게 규칙을 뭘 추가할지를 고르게 해주는데

왠진 몰라도 규칙에 용량이란게 있어서 총합이 1500 이하가 되도록 적당히 넣어줘야 한다.
Add Rules를 누르고 필요에 따라 규칙을 골라넣으면 된다.

기본 제공 규칙

기본으로 제공되는 규칙들이 좀 있다.
manager rule groups를 선택한다.

저 계정 탈취 방지나 봇 컨트롤은 추가 요금이 들어가는 비싼 놈들이다.
계정 탈취는 로그인을 무차별로 날리면서 뚫으려고 하는 시도를 좀 막아주고, 봇 제어는 크롤러같은걸 막기에 좋을 것이다.

그리고 기본제공 옵션들도 꽤 많다.

일반적으로 잘 알려진 취약점 대응들도 좀 해주는 편이고

PHP 취약점이나 SQL 인젝션같은것도 땜빵을 해준다... PHP는 정말...

저 밑에도 다양한 옵션들이 더 많은데, 무슨 마켓플레이스에 구독을 또 해야하더라.

커스텀 규칙 - IP 차단

옛날부터 악의적인 접근을 막을때 가장 많이 쓰는 방법 중 하나다.
단순하지만 확실하다.

저걸로 들어가서

IP Set으로 선택해주고, 이름 지은 다음에

IP Set을 골라주고, 액션을 선택해주면 된다.

Allow는 그냥 허용해주는 것이고, Block은 무조건 차단이 되겠다.

IP Set이 없다면 저기 탭에 들어가서

적당히 만들어준다.

아이피는 CIDR 포맷을 사용해서 개행 단위로 집어넣는다. 저건 지금 내 IP다.
그리고 Cloudfront용이면 글로벌이고, 다른 서비스에 붙일 경우에는 리전을 지정해야한다.

아무튼 이렇게 해서 적당히 추가해서 붙여보겠다.

밑에 칸은 매칭되는게 없을때는 그냥 허용해준다는건데, 원한다면 반대로 할 수도 있다.

규칙들 간의 우선순위도 있다.

지표 설정이다.
그냥 넘어가도 될 것 같다.
저렇게 해서 만들면

이렇게 ACL 관리창으로 모니터링도 되고

규칙의 수정이나 관리도 간편하게 할 수 있다.

내 아이피를 블락을 걸어놓으니 원래 잘 되던게

잘 막히더라

봇 차단이나 무차별 로그인 방어도 좋지만, 사실 이런 단순한 차단기능만 해도 꽤 쓸만한 것 같다.

아키텍처와 관련된 좀더 깊이있는 정보를 원한다면 배민에서 작성한 글도 한번 보면 좋겠다.
https://techblog.woowahan.com/2699/

참조
https://techblog.woowahan.com/2699/