작성 및 테스트 수행 : (주)알파서클 박동빈

보안 상 우려되는 점 & WAF 도입 목적

• 무료로 접근 가능한 리소스들(무료 컨텐츠 등)에 대한 악의적인 리퀘스트 급증으로 인해 AWS S3 및 Cloudfront 비용이 폭증하는 것을 방지하고자 합니다.

대응 프로토콜 : ALB와 Cloudfront에 WAF 적용

• 리퀘스트의 URI Path를 검사하여 백엔드 앱의 api들에 대한 처리율 제한을 걸 수 있습니다.

  • 구체적인 예시

    백엔드 앱의 어떤 api가 “/test-api” 라는 url을 가지고 있을 때, WAF에서 특정 IP에서 일정 횟수를 초과하여 “test”라는 URI path를 포함하고 있는 api를 호출한 경우를 탐지해 차단합니다.

• 특정 아이피 또는 국가로부터 오는 모든 리퀘스트를 영구 차단하도록 설정할 수 있습니다.

• CDN의 배포 단위 별로 IP별 요청 횟수 제한을 걸 수 있습니다.

WAF의 장점

• 월간 요청이 1억 회 이하인 서비스 초기에는 API Gateway, Shield Advanced보다 저렴합니다.
  • 매 월 1억 건의 요청이 들어왔을 때, 비용 비교
    • API Gateway : 약 124달러(호출요금 123달러 + 리스펀스 데이터 전송 요금 약 1달러)
    • Shield Advanced : 약 251달러(기본요금 250달러 + 리스펀스 데이터 전송 요금 약 1달러)
    • WAF : 약 84달러(ALB에만 적용할 경우)