💬 질문 3: AWS WAF 대체하기

💬 질문 3: AWS WAF 대체하기

[상황 설명]

외부 공격과 비정상적인 매크로(봇) 접근에 대해 단순히 AWS WAF에 의존하기보다,

Istio(Service Mesh), 애플리케이션 보안 로직, 자체 AI 기반 비정상 행위 패턴 분석, VPC 보안(NACL 등)을 조합하여

직접 방어 체계를 구축하는 아키텍처를 구상 중입니다.

(AWS CloudFront에 기본 WAF 기능이 포함되어 있긴 하지만, Rate Limit 등에서 한계가 있다고 판단했습니다.)

[질문 내용]

실무 적용 가능성: 상용 WAF를 쓰지 않고 인프라(Istio)와 앱/AI 레벨에서 직접 이런 방어 및 스코어링 기능을 구현해 내는 것이 실제 서비스에서도 통용되거나 시도되는 방식인가요?

프로젝트 가산점: 클라우드 네이티브 보안을 직접 구현해 본다는 측면에서 긍정적인 가산점 요소가 될 수 있을지, 아니면 '잘 만들어진 솔루션(WAF)을 안 쓰고 바퀴를 재발명하는 위험한 시도'로 보일지 궁금합니다.

DDoS 방어 우려: 만약 자체 구축으로 방향을 잡는다면, WAF 부재 시 가장 우려되는 대규모 DDoS 공격에 대해서는 어떤 부분(예: Shield Basic 활용 등)을 챙기면 좋을지 가이드 해주시면 감사하겠습니다.

[답변]

WAF도 해보고, 보안을 직접 구현해서 장/단점을 비교하는 것을 추천드립니다.
(학습 차원 등 내 실력 올리기에는 직접 구현해보는게 공부가 많이 됩니다)

보통은 WAF를 많이 쓰죠, 신규 공격에 대해서는 업데이트가 늦어서 뚫릴 수 있으니까요
(다만 WAF 솔루션 비용도 문제라.. 가격대비 좋은 성능을 가진 WAF을 잘 찾아서 쓰는것도 능력입니다)

그리고 많은 개발을 해보고 공격(RED팀)을 잘해야 방어도 잘하는게 어느정도 맞긴 합니다..