다음을 통해 공유

Azure Front Door의 DDoS Protection

  • 아티클

Azure Front Door는 전 세계 192개 POP(Edge Points of Presence)에 트래픽을 분산하여 HTTP(S) DDoS 공격으로부터 원본을 보호하는 데 도움이 되는 CDN(Content Delivery Network)입니다. 이러한 POP는 Azure의 대규모 프라이빗 WAN을 사용하여 웹 애플리케이션 및 서비스를 최종 사용자에게 더 빠르고 안전하게 제공합니다. Azure Front Door에는 일반적인 악용 및 취약성으로부터 애플리케이션을 보호하기 위한 계층 3, 4 및 7 DDoS 보호 및 WAF(웹 애플리케이션 방화벽)가 포함되어 있습니다.

인프라 DDoS 보호

Azure Front Door는 기본 Azure 인프라 DDoS 보호이점을 누릴 수 있습니다. 이 보호는 Azure Front Door 네트워크의 글로벌 규모와 용량을 사용하여 실시간으로 네트워크 계층 공격을 모니터링하고 완화합니다. 대규모 공격으로부터 Microsoft의 엔터프라이즈 및 소비자 서비스를 보호하는 입증된 실적을 보유하고 있습니다.

프로토콜 차단

Azure Front Door는 HTTP 및 HTTPS 프로토콜만 지원하며 각 요청에 대해 유효한 Host 헤더가 필요합니다. 이 동작은 다양한 프로토콜 및 포트를 사용하는 볼륨 공격, DNS 증폭 공격 및 TCP 중독 공격과 같은 일반적인 DDoS 공격 유형을 방지하는 데 도움이 됩니다.

용량 흡수

Azure Front Door는 초당 수십만 개의 요청을 처리하는 Microsoft의 자체 클라우드 제품을 포함하여 많은 고객에게 서비스를 제공하는 대규모 글로벌 분산 서비스입니다. Azure 네트워크의 가장자리에 위치한 Azure Front Door는 대용량 공격을 가로채고 지리적으로 격리하여 악의적인 트래픽이 Azure 네트워크의 가장자리를 벗어나는 것을 방지할 수 있습니다.

캐싱

Azure Front Door 캐싱 기능을 사용하여 공격에 의해 생성된 큰 트래픽 볼륨으로부터 백 엔드를 보호할 수 있습니다. Azure Front Door 에지 노드는 캐시된 리소스를 반환하여 백 엔드로 전달하지 않습니다. 동적 응답에 대한 짧은 캐시 만료 시간(초 또는 분)도 백 엔드 서비스의 부하를 크게 줄일 수 있습니다. 캐싱 개념 및 패턴에 대한 자세한 내용은 캐싱 고려 사항캐시 배제 패턴을 참조하세요.

Web Application Firewall(WAF)

Azure WAF(웹 애플리케이션 방화벽)를 사용하여 다양한 유형의 공격을 완화할 수 있습니다.

  • 관리형 규칙 집합은 많은 일반적인 공격으로부터 애플리케이션을 보호합니다. 자세한 내용은 관리형 규칙을 참조하세요.
  • 특정 지역에서 정적 웹 페이지로 트래픽을 차단하거나 리디렉션합니다. 자세한 내용은 지역 필터링을 참조하세요.
  • 악성으로 식별된 IP 주소 및 범위를 차단합니다. 자세한 내용은 IP 제한을 참조하세요.
  • IP 주소가 서비스를 너무 자주 호출하지 못하도록 속도 제한을 적용합니다. 자세한 내용은 속도 제한을 참조하세요.
  • 알려진 서명을 사용하여 HTTP 또는 HTTPS 공격을 자동으로 차단하고 속도 제한하는 사용자 지정 WAF 규칙을 만듭니다.
  • 봇 보호 관리형 규칙 집합은 알려진 잘못된 봇으로부터 애플리케이션을 보호합니다. 자세한 내용은 봇 보호 구성을 참조하세요.

Azure WAF를 사용하여 DDoS 공격으로부터 보호하는 방법에 대한 지침은 Application DDoS 보호를 참조하세요.

Virtual Network 원본 보호

원본 가상 네트워크에서 Azure DDoS Protection을 사용하도록 설정하여 DDoS 공격으로부터 공용 IP를 보호합니다. 이 서비스는 공격 중 전문가 지원을 위해 비용 보호, SLA 보장 및 DDoS 신속한 대응 팀에 대한 액세스와 같은 더 많은 혜택을 제공합니다.

Azure Private Link를 사용하여 Azure Front Door에 대한 액세스를 제한하여 Azure 호스팅 원본의 보안을 강화합니다. 이 기능은 Azure Front Door와 애플리케이션 서버 간에 프라이빗 네트워크 연결을 설정하므로 원본을 공용 인터넷에 노출할 필요가 없습니다.

다음 단계

  • Azure Front Door대한 WAF 정책을 설정합니다.
  • Azure Front Door 프로필을 만듭니다.
  • Azure Front Door의 작동 방식을 이해 합니다.