이번 주는 인프라 보안의 두 번째 축인 엣지와 경계 방어를 다뤘다. WAF(L7 필터), Shield(DDoS 흡수), Network/DNS Firewall(VPC 검사·도메인 통제), CloudFront/ACM/OAC(엣지 통합·오리진 잠금). 오늘은 이들을 하나의 결정 체계로 묶는다. 시험은 개별 서비스 지식보다 *"이 상황에서 어떤 통제를 어느 지점에 배치하는가"*를 묻는다. 핵심은 **계층(어떤 위협인가) × 위치(어디서 막는가)**의 2차원 사고다.
| 위협/요구 | 1차 통제 | 배치 위치 |
|---|---|---|
| SQLi/XSS 등 L7 인젝션 | WAF managed/match rule + TextTransformation | CloudFront 또는 ALB |
| HTTP/GET flood (L7 DDoS) | WAF rate-based rule (+ScopeDown) | CloudFront/ALB |
| SYN/UDP flood (L3/4 DDoS) | Shield (Standard 자동, Advanced 향상) | 엣지(CloudFront/R53/GA) |
| 대규모 공격 비용 보전·DRT 지원 | Shield Advanced | 보호 등록 리소스 |
| 로그인 브루트포스 | WAF rate-based(CUSTOM_KEYS) + CAPTCHA | 엣지 |
| VPC 아웃바운드 도메인 통제 | Network Firewall |