[AWS] WAF vs FireWall Manager vs Shield

AWS WAF vs AWS Firewall Manager vs AWS Shield 비교

항목	AWS WAF	AWS Firewall Manager	AWS Shield
핵심 목적	웹 애플리케이션에 대한 웹 공격 방어	여러 계정 및 리소스에 대한 보안 정책 일괄 관리(AWS Organizations와 함께중앙화 관리시 선택)	DDoS 공격으로부터 서비스 가용성 보호
보호 계층	Layer 7 (Application Layer)	Layer 7 및 리소스 레벨 정책 관리	- Layer 3/4 (Network) - Layer 7 (Application)
적용 대상	- CloudFront, ALB, API Gateway 등	- 여러 계정의 WAF, Shield, VPC Security Group	- AWS 서비스 (CloudFront, ALB, Route 53 등)
주요 특징	- 웹 ACL 기반의 트래픽 필터링 및 차단 - SQL 인젝션, XSS, OWASP Top 10 방어 - IP 차단, 허용, 트래픽 패턴 필터링	- 중앙 집중화된 보안 정책 적용 및 관리 - 비정상적 정책 위반 감지 및 리소스 적용 - 여러 리소스에 동일한 보안 설정 일괄 적용	- Shield Standard: 기본 DDoS 보호 무료 제공 - Shield Advanced: DDoS 실시간 감지 및 완화 - DDoS 공격 비용 보호 (Shield Advanced)
관리 방식	개별 리소스에 수동으로 설정	AWS Organization과 통합해 조직 단위 관리	자동화된 보호 (Standard) + 강화된 보호 옵션
요금	- 사용한 규칙 수 및 요청 수 기준 과금	- 관리되는 리소스와 정책 수에 따라 과금	- Shield Standard: 무료 - Shield Advanced: 추가 비용 발생
핵심 포인트	- Layer 7 보호 제공 - 웹 ACL을 통해 세부적인 규칙 설정 가능	- 여러 계정 및 리소스에서 보안 일관성 관리 - WAF, Shield와 함께 중앙 집중식 관리	- DDoS 공격으로 인한 서비스 중단 방지 - 비용 보호 및 SLA 보장 (Advanced)

---

AWS SAA 요약

1. AWS WAF
   • 웹 애플리케이션 방어에 집중 (Layer 7).
   • 주로 SQL 인젝션, XSS, IP 차단 등을 필터링.
   • CloudFront, ALB, API Gateway와 통합되어 사용.
2. AWS Firewall Manager
   • 여러 계정과 리소스에 대해 보안 정책을 일괄 적용.
   • AWS Organizations와 통합되어 대규모 조직 관리 시 필수.
   • WAF, Shield, VPC Security Groups 설정을 중앙 집중화해서 관리.
3. AWS Shield
   • DDoS 공격 방어에 집중.
   • Shield Standard: 모든 고객에게 무료 제공되는 기본 DDoS 방어.
   • Shield Advanced: SLA 보장, 비용 보호 및 고급 DDoS 방어 기능 제공.
   • 시험에서는 가용성 보장과 DDoS 완화 상황에서 자주 언급됨.

---

포인트

• WAF: HTTP/HTTPS 트래픽 보호 및 웹 애플리케이션 보안 설정.
• Firewall Manager: 여러 계정과 리소스에 대해 중앙 관리. (AWS Organizations 연관)
• Shield: DDoS 공격 방어 (Standard는 기본, Advanced는 고급 기능 및 비용 보호).

웹 공격과 관련되면 WAF, 중앙 집중식 보안 관리는 Firewall Manager를 선택, DDoS 보호는 Shield.