Azure Portal을 사용하여 Azure DDoS Protection 배포

15분

DDoS(분산형 서비스 거부)

DoS(서비스 거부 공격)는 서비스 또는 시스템에 대한 액세스를 방지하는 것을 목표로 하는 공격입니다. DoS 공격은 한 곳에서 시작됩니다. DDoS(분산 서비스 거부) 공격은 여러 네트워크와 시스템에서 시작됩니다.

DDoS 공격은 애플리케이션을 클라우드로 옮기는 고객이 직면하는 가장 큰 가용성 및 보안 문제 중 하나입니다. DDoS 공격은 API 또는 애플리케이션의 리소스를 소진하여 정상적인 사용자가 애플리케이션을 사용할 수 없게 하려고 시도합니다. 인터넷을 통해 공개적으로 도달 가능한 모든 엔드포인트는 DDoS 공격의 대상이 될 수 있습니다.

DDoS 구현

애플리케이션 설계 모범 사례와 결합된 Azure DDoS Protection은 DDoS 공격에 대한 방어 기능을 제공합니다. Azure DDoS 보호는 다음과 같은 서비스 계층을 제공합니다.

네트워크 보호. Azure Virtual Network 리소스에 맞게 특별히 조정된 DDoS 인프라 보호에 대한 완화 기능을 제공합니다. Azure DDoS Protection은 사용하도록 설정이 간단하며 애플리케이션을 변경할 필요가 없습니다. 정책은 가상 네트워크에 배포된 리소스와 연결된 공용 IP 주소에 적용됩니다. 공격을 받고 있을 때 기록을 위해 Azure Monitor 뷰를 통해 실시간 원격 분석을 사용할 수 있습니다. 진단 설정을 통해 다양한 공격 완화 분석을 사용할 수 있습니다. Azure Application Gateway WAF(웹 애플리케이션 방화벽)를 통해 애플리케이션 계층 보호를 추가할 수 있습니다. IPv4 및 IPv6 Azure 공용 IP 주소에 대해 보호가 제공됩니다.
IP 보호. DDoS IP Protection은 보호된 IP당 요금 모델입니다. DDoS IP 보호에는 DDoS 네트워크 보호와 동일한 핵심 엔지니어링 기능이 포함되어 있습니다. 하지만 DDoS 빠른 응답 지원, 비용 보호, WAF 할인과 같은 부가가치 서비스도 있습니다.

DDoS Protection은 가상 네트워크의 리소스를 보호합니다. 보호에는 가상 머신 공용 IP 주소, 부하 분산 장치 및 애플리케이션 게이트웨이가 포함됩니다. Application Gateway WAF와 결합하면 DDoS Protection은 3계층에서 7계층까지의 완전한 완화 기능을 제공할 수 있습니다.

DDoS 공격의 유형

DDoS Protection은 다음 유형의 공격을 완화할 수 있습니다.

체적(Volumetric) 공격. 이러한 공격은 정상적으로 보이는 대량의 트래픽으로 네트워크 계층을 마비시킵니다. 여기에는 UDP 플러드, 증폭 플러드 및 기타 스푸핑된 패킷 플러드가 포함됩니다.
프로토콜 공격. 이 공격은 계층 3 및 계층 4 프로토콜 스택의 취약점을 악용하여 대상을 액세스 불능 상태로 만듭니다. 공격에는 SYN 플러드(flood) 공격, 리플렉션 공격 및 기타 프로토콜 공격이 포함됩니다.
리소스 (애플리케이션) 계층 공격. 이러한 공격은 웹 애플리케이션 패킷을 대상으로 호스트 간의 데이터 전송을 방해합니다. 공격에는 HTTP 프로토콜 위반, SQL 주입, 교차 사이트 스크립팅 및 기타 7계층 공격이 포함됩니다.

Azure DDoS Protection 기능

Azure DDoS Protection의 몇 가지 기능은 다음과 같습니다.

네이티브 플랫폼 통합. Azure에 기본적으로 통합되며 포털을 통해 구성됩니다.
턴키 보호 기능. 간편하게 구성하여 모든 리소스를 즉시 보호할 수 있습니다.
Always-On 트래픽 모니터링. DDoS 공격의 징후를 찾기 위해 애플리케이션 트래픽 패턴이 24시간 매일 모니터링됩니다.
적응형 튜닝. 서비스 트래픽에 맞게 프로필을 생성하며 적절하게 조정됩니다.
공격 분석. 공격 진행 중에 5분 단위로 세부 보고서를 가져오고, 공격이 종료된 후에는 전체 요약을 가져옵니다.
공격 메트릭 및 경고. Azure Monitor를 통해 각 공격을 요약한 메트릭에 액세스할 수 있습니다. 기본 제공되는 공격 메트릭을 사용하여 공격 시작 및 중지 시, 그리고 공격이 진행되는 동안 경고를 구성할 수 있습니다.
다중 계층 보호. WAF와 함께 배포하는 경우 DDoS Protection은 네트워크 계층과 애플리케이션 계층을 모두 보호합니다.

DDoS Protection의 주요 기능을 좀 더 자세히 살펴보겠습니다.

Always-On 트래픽 모니터링

DDoS Protection는 실제 트래픽 사용률을 모니터링하면서 DDoS 정책에 정의된 임계값과 지속적으로 비교합니다. 트래픽 임계값이 초과되면 DDoS 완화가 자동으로 시작됩니다. 트래픽이 임계값 아래로 돌아오면 완화가 중단됩니다.

DDoS 보호를 통한 상시 트래픽 모니터링을 보여 주는 다이어그램

완화하는 동안 보호된 리소스로 전송된 트래픽이 리디렉션되고 여러 가지 검사가 수행됩니다.

패킷이 인터넷 사양을 준수하고 잘못된 형식이 아닌지 확인합니다.
클라이언트와 상호 작용하여 트래픽이 스푸핑된 패킷일 가능성이 있는지 확인합니다(예: SYN Auth 또는 SYN 쿠키 또는 원본에서 다시 전송하도록 패킷 삭제).
다른 적용 방법을 수행할 수 없는 경우 패킷 속도를 제한합니다.

DDoS Protection은 공격 트래픽을 끊고 나머지 트래픽을 의도하는 대상으로 전달합니다. 공격이 탐지되면 몇 분 이내에 Azure Monitor 메트릭을 사용한 알림을 받습니다. DDoS Protection 원격 분석에서 로깅을 구성하면 향후 분석을 위해 사용 가능한 옵션에 로그를 작성할 수 있습니다. DDoS Protection용 Azure Monitor의 메트릭 데이터는 30일 동안 유지됩니다.

적응형 실시간 조정

Azure DDoS Protection 서비스는 고객을 보호하고 다른 고객에게 미치는 영향을 방지하는 데 도움이 됩니다. 예를 들어 인프라 수준 DDoS Protection 정책의 트리거 비율보다 작은 합법적인 수신 트래픽의 일반 볼륨에 대해 서비스를 프로비저닝하면 해당 고객의 리소스에 대한 DDoS 공격을 알아차리지 못할 수 있습니다. 뿐만 아니라 최근 공격(예: 다중 벡터 DDoS) 및 테넌트의 애플리케이션별 동작이 더욱 복잡해지면서 고객별로 조정된 보호 정책의 필요성이 대두되었습니다.

DDoS 보호의 적응형 실시간 튜닝을 보여 주는 다이어그램.

공격 메트릭, 경고, 로그

DDoS Protection은 Azure Monitor 도구를 통해 풍부한 원격 분석을 노출합니다. DDoS Protection에서 사용하는 Azure Monitor 메트릭 중 하나에 대한 경고를 구성할 수 있습니다. Azure Monitor 진단 인터페이스를 통한 고급 분석을 위해 Splunk(Azure Event Hubs), Azure Monitor 로그 및 Azure Storage와 로깅을 통합할 수 있습니다.

Azure Portal에서 모니터 > 메트릭을 선택합니다. 메트릭 창에서 리소스 그룹, 공용 IP 주소의 리소스 유형, Azure 공용 IP 주소를 차례로 선택합니다. 사용 가능한 메트릭 창에 DDoS 메트릭이 표시됩니다.

DDoS Protection은 DDoS가 설정된 가상 네트워크에서 보호되는 리소스의 각 공용 IP에 대한 세 가지 자동 조정 완화 정책(SYN, TCP, UDP)을 적용합니다. DDoS 완화를 트리거하는 인바운드 [SYN/TCP/UDP] 패킷 메트릭을 선택하여 정책 임계값을 볼 수 있습니다.

DDoS Protection의 완화 정책 메트릭을 표시하는 차트의 스크린샷.

정책 임계값은 기계 학습 기반의 네트워크 트래픽 프로파일링을 통해 자동으로 구성됩니다. 정책 임계값을 초과하면 공격을 받고 있는 IP 주소에 대해 DDoS 완화가 발생합니다.

공용 IP 주소가 공격을 받고 있는 경우 DDoS Protection이 공격 트래픽에 대한 완화를 수행하므로 Under DDoS attack or not(DDoS 공격 진행 여부) 메트릭 값이 1로 변경됩니다.

'DDoS 공격 유무'에 대한 메트릭을 표시하는 차트의 스크린샷.

다중 계층 보호

애플리케이션 계층에서 이루어지는 리소스 공격과 관련하여, 웹 애플리케이션을 보호하기 위해 WAF를 구성해야 합니다. WAF는 인바운드 웹 트래픽을 검사하여 SQL 주입, 사이트 간 스크립팅, DDoS 및 기타 레이어 7 공격을 차단합니다. Azure는 일반적인 익스플로잇과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호하기 위한 Application Gateway 기능으로 WAF를 제공합니다. Azure Marketplace에는 Azure 파트너가 제공하는 다양한 WAF도 있습니다.

Web Application Firewall Application Gateway를 보여 주는 다이어그램.

웹 애플리케이션 방화벽조차 대규모 공격 및 상태 고갈 공격에 취약합니다. 따라서 용적 측정 및 프로토콜 공격으로부터 보호하려면 WAF 가상 네트워크에서 DDoS Protection을 사용하도록 설정합니다.

DDoS 보호 계획 배포

DDoS 보호 계획을 배포하는 주요 단계는 다음과 같습니다.

리소스 그룹 만들기
DDoS 보호 계획 만들기
신규 또는 기존 가상 네트워크 또는 IP 주소에서 DDoS 보호를 사용하도록 설정합니다.
DDoS 원격 분석 구성
DDoS 진단 로그 구성
DDoS 경고 구성
테스트 DDoS 공격을 실행하고 결과를 모니터링합니다.

지식 점검

DDoS 공격을 나타내는 증상은 무엇인가요?

설명할 수 없는 요청의 급증.

애플리케이션 실행 속도 저하.

HTTP 400 잘못된 요청

DDoS 공격을 받을 때 어떤 조치를 취해야 합니까?

경고를 모니터링하고 공격 프로필을 검토합니다.

Azure 리소스를 스케일 아웃하여 시스템을 계속 실행합니다.

IT 팀에 메일을 보냅니다.

작업을 확인하기 전에 모든 질문에 대답해야 합니다.