[PRODUCT-282] [Hotfix] 취약점 스캐닝 및 크롤링 방지 작업 #196
Description
🏷️ 상위 작업 (Ticket Number)
PRODUCT-119
🚀 구현 내용
Datadog SLO 알람에서 지속적으로 레이턴시가 감소하고 있다는 경고가 발생했습니다.
로그 분석 결과
- 취약점 스캐닝 혹은 크롤링 ms 단위의 시간동안 api를 호출하여 어플리케이션을 스캔하고 있습니다.
- 이 경우 패치 조인이 너무 자주 일어나 전체 레이턴시가 지속적으로 낮아지고 있습니다.
- 현재 문제는 스캐닝떄문에 발생하고 있지만, 장기적으로 쿼리 개선도 필요합니다.
- env, api/.git/config. 등등 어플리케이션 설정 파일을 뺴가려는 포트 스캐닝 공격이 이루어지고 있습니다.
임시 조치
- ALB에서 서버 도메인으로만 접근이 가능하게 리스너 규칙을 수정합니다.
- 임시적으로 스캐닝과 크롤링을 줄일수 있지만 시간이 지나고, 도메인이 노출되면 다시 공격이 들어올 가능성이 높기에 반드시 추가 조치가 필요합니다.
- 공격자를 차단하도록 로깅 정책을 변경하여 요청자의 IP 정보를 Hash로 암호화하여 저장하는 추가 작업이 필요합니다.
해결 방안
-
AWS WAF를 ALB 앞단에 배치하여 AWS가 비슷한 공격을 자동으로 차단하게 합니다.
(빠르고 확실하지만 비용 발생합니다. 월 6~8천원 추가 발생) -
Datadog → AWS EventBridge → AWS Lambda → NACL를 사용하여 비용 추가 없이 공격을 시도한 IP를 차단하는 파이프라인을 만듭니다.
(비용 추가가 없지만, 작업 난이도가 꽤 높고 오래걸립니다.)
📅 마감일
No response