질문 10: 건너뜀 A company runs a Flight Deals web application which is currently hosted on their on-premises data center. The website hosts high-resolution photos of top tourist destinations in the world and uses a third-party payment platform to accept payments. Recently, the company heavily invested in their global marketing campaign and there is a high probability that the incoming traffic to their Flight Deals website will increase in the coming days. Due to a tight deadline, the company does not have the time to fully migrate the website to the AWS cloud. A set of security rules that block common attack patterns, such as SQL injection and cross-site scripting should also be implemented to improve website security. Which of the following options will maintain the website’s functionality despite the massive amount of incoming traffic?

회사는 현재 온프레미스 데이터 센터에서 호스팅되는 Flight Deals 웹 애플리케이션을 실행합니다. 이 웹사이트는 세계 최고의 관광지의 고해상도 사진을 호스팅하고 제3자 결제 플랫폼을 사용하여 결제를 수락합니다. 최근 이 회사는 글로벌 마케팅 캠페인에 막대한 투자를 했으며 앞으로 Flight Deals 웹 사이트로 유입되는 트래픽이 증가할 가능성이 높습니다. 촉박한 기한 때문에 회사는 웹 사이트를 AWS 클라우드로 완전히 마이그레이션할 시간이 없습니다. SQL 인젝션, cross-site scripting과 같은 일반적인 공격 패턴을 차단하는 일련의 보안 규칙도 웹 사이트 보안을 향상시키기 위해 구현되어야 합니다. 엄청난 양의 유입 트래픽에도 불구하고 웹사이트의 기능을 유지하는 옵션은 다음 중 무엇입니까?

1. Use CloudFront to cache and distribute the high resolution images and other static assets of the website. Deploy AWS WAF on the Amazon CloudFront distribution to protect the website from common web attacks.

CloudFront를 사용하여 웹 사이트의 고해상도 이미지 및 기타 정적 자산을 캐싱하고 배포합니다. 일반적인 웹 공격으로부터 웹 사이트를 보호하려면 Amazon CloudFront 배포에 AWS WAF를 배포하십시오.

1. Generate an AMI based on the existing Flight Deals website. Launch the AMI to a fleet of EC2 instances with Auto Scaling group enabled, for it to automatically scale up or scale down based on the incoming traffic. Place these EC2 instances behind an ALB which can balance traffic between the web servers in the on-premises data center and the web servers hosted in AWS.

기존 Flight Deals 웹 사이트를 기반으로 AMI를 생성합니다. Auto Scaling 그룹이 활성화된 EC2 인스턴스 플릿에 AMI를 시작하여 들어오는 트래픽에 따라 자동으로 확장 또는 축소합니다. 온프레미스 데이터 센터의 웹 서버와 AWS에서 호스팅되는 웹 서버 간의 트래픽 균형을 유지할 수 있는 ALB 뒤에 이러한 EC2 인스턴스를 배치합니다.

1. Create and configure an S3 bucket as a static website hosting. Move the web domain of the website from your on-premises data center to Route 53 then route the newly created S3 bucket as the origin. Enable Amazon S3 server-side encryption with AWS Key Management Service managed keys.

정적 웹 사이트 호스팅으로 S3 버킷을 생성하고 구성합니다. 웹사이트의 웹 도메인을 온프레미스 데이터 센터에서 Route 53으로 이동한 다음 새로 생성된 S3 버킷을 오리진으로 라우팅합니다. AWS Key Management Service 관리형 키로 Amazon S3 서버 측 암호화를 활성화합니다.

1. Use the AWS Server Migration Service to easily migrate the website from your on-premises data center to your VPC. Create an Auto Scaling group to automatically scale the web tier based on the incoming traffic. Deploy AWS WAF on the Amazon CloudFront distribution to protect the website from common web attacks.

AWS Server Migration Service를 사용하여 온프레미스 데이터 센터에서 VPC로 웹 사이트를 쉽게 마이그레이션하십시오. 들어오는 트래픽을 기반으로 웹 계층을 자동으로 확장하는 Auto Scaling 그룹을 만듭니다. 일반적인 웹 공격으로부터 웹 사이트를 보호하려면 Amazon CloudFront 배포에 AWS WAF를 배포하십시오.

풀이 및 공부

1번

온프레미스에서 호스팅 되고있는 웹사이트 및 정적파일들이 있는데, cloudfront랑 waf를 붙일 수 있나? 라는 궁금함이 들었는데, cdn을 잘 몰라서 들었던 궁금증인듯.

아래 사진처럼 domain 기반으로 하기때문에 origin이 aws이던 온프레미스이던 크게 상관은 없다.

waf는 cloudfront앞에 붙일수도있고, api gateway에 바로 붙일수도 있음

waf 에서 rule을 설정해서 적용

참고