Azure DDoS Protection 설명

  • 4분

규모에 관계없이 모든 회사는 심각한 네트워크 공격의 대상이 될 수 있습니다. 공격의 특성은 의사를 표시하는 것이거나 공격자가 챌린지를 원했기 때문일 수 있습니다.

분산형 서비스 거부 공격

DDoS(분산형 서비스 거부) 공격의 목표는 애플리케이션 및 서버의 리소스에 과부하를 일으켜 실제 사용자에 대해 응답하지 않거나 속도가 느려지게 하는 것입니다. DDoS 공격은 일반적으로 인터넷을 통해 액세스할 수 있는 퍼블릭 쪽 디바이스를 대상으로 합니다.

자주 발생하는 세 가지 유형의 DDoS 공격은 다음과 같습니다.

  • 대규모 공격: 합법적으로 보이는 트래픽으로 네트워크 계층에 과부하를 일으켜 사용 가능한 대역폭이 고갈되게 하는 볼륨 기반 공격입니다. 합법적인 트래픽이 전달되지 않습니다.
  • 프로토콜 공격: 프로토콜 공격은 계층 3(네트워크) 및 계층 4(전송) 프로토콜의 약점을 악용하는 거짓 프로토콜 요청으로 서버 리소스에 과부하를 일으켜 대상을 액세스할 수 없게 합니다.
  • 리소스(애플리케이션) 계층 공격: 이러한 공격은 대상 웹 애플리케이션 패킷을 공격하여 호스트 간 데이터 전송을 방해합니다.

Azure DDoS Protection이란?

Azure DDoS Protection 서비스는 네트워크 트래픽을 분석하고 DDoS 공격처럼 보이는 모든 것을 삭제하여 애플리케이션 및 서버 보호에 도움이 되도록 설계되었습니다.

Diagram showing network flow into Azure from both customers and attackers, and how Azure DDoS Protection filters out DDoS attacks.

Azure DDoS Protection 서비스는 계층 3(네트워크 계층) 및 계층 4(전송 계층)에서 보호합니다. 제공되는 주요 이점은 다음과 같습니다.

  • 트래픽 항시 모니터링: DDoS 공격의 징후를 찾기 위해 애플리케이션 트래픽 패턴이 24시간 매일(주 7일) 모니터링됩니다. Azure DDoS Protection은 공격이 검색되면 즉시 자동으로 완화합니다. 완화의 일환으로 보호된 리소스로 전송된 트래픽은 DDoS 보호 서비스에 의해 리디렉션되고 몇 가지 검사가 수행됩니다. Azure DDoS Protection은 공격 트래픽을 끊고 나머지 트래픽을 의도하는 대상으로 전달합니다. 공격이 탐지되면 몇 분 이내에 Azure Monitor 메트릭을 사용한 알림을 받습니다.
  • 적응형 실시간 튜닝: 지능형 트래픽 프로파일링으로 시간별 애플리케이션 트래픽을 학습하고, 사용자의 서비스에 가장 적합한 프로필을 업데이트합니다. 시간이 지남에 따라 트래픽이 변경됨에 따라 프로필이 조정됩니다.
  • DDoS Protection 원격 분석, 모니터링 및 경고: Azure DDoS Protection은 Azure Monitor를 통해 풍부한 원격 분석을 제공합니다. DDoS Protection에서 사용하는 Azure Monitor 메트릭 중 하나에 대한 경고를 구성할 수 있습니다. Azure Monitor 진단 인터페이스를 통한 고급 분석을 위해 Azure Event Hubs, Azure Monitor 로그 및 Azure Storage와 로깅을 통합할 수 있습니다.

Azure DDoS Protection은 DDoS IP 보호와 DDoS 네트워크 보호라는 두 가지 계층 형식을 지원합니다. 계층은 Azure DDoS Protection을 구성할 때 Azure Portal에서 구성됩니다.

  • DDoS 네트워크 보호: 애플리케이션 디자인 모범 사례와 결합된 DDoS 네트워크 보호 서비스(SKU로 사용 가능)는 DDoS 공격을 방어하는 향상된 DDoS 완화 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다. 보호는 새 가상 네트워크 또는 기존 가상 네트워크에서 간단하게 설정할 수 있으며 애플리케이션 또는 리소스를 변경할 필요가 없습니다.
  • DDoS IP 보호: DDoS IP 보호는 보호되는 IP 당 요금 모델입니다. DDoS IP 보호에는 DDoS 네트워크 보호와 동일한 코어 엔지니어링 기능이 포함되어 있지만 DDoS 네트워크 보호의 일부인 DDoS 신속한 응답 지원, 비용 보호, WAF(Web Application Firewall) 할인과 같은 부가 가치 서비스가 포함되지 않는다는 점이 다릅니다. 기능 및 해당 계층의 전체 목록은 Azure DDoS Protection 계층 비교 정보를 참조하세요.

자주 제기되는 일반적인 질문은 Azure에서 실행되는 서비스가 본질적으로 기본 인프라 수준 DDoS 보호에 의해 보호되는 경우 DDos Protection 서비스 추가를 고려하는 이유는 무엇인가요? 그 이유는 인프라를 보호하는 보호 기능이 대부분의 애플리케이션이 처리할 수 있는 용량보다 더 높은 임계값을 가지며 원격 분석이나 경고를 제공하지 않기 때문입니다. 따라서 트래픽 양은 플랫폼에서 무해한 것으로 인식될 수 있지만 이를 수신하는 애플리케이션에는 치명적일 수 있습니다. 애플리케이션은 Azure DDoS Protection 서비스에 온보딩하여 공격 및 애플리케이션별 임계값을 감지하는 전용 모니터링을 얻습니다. 서비스는 예상되는 트래픽 볼륨에 맞게 조정되는 프로필을 사용하여 보호되며 DDoS 공격에 대해 더 견고한 방어를 제공합니다.

앞서 언급했듯이 Azure DDos Protection은 계층 3과 계층 4에서 보호합니다. 계층 7(애플리케이션 계층)에서 웹 애플리케이션을 보호하려면 이 모듈의 후속 단원에서 설명하는 WAF(Web Application Firewall) 제품을 사용하여 애플리케이션 계층에 보호를 추가해야 합니다.