Azure DDoS Protection이란 무엇인가요?
DDoS(배포된 서비스 거부) 공격은 고객이 애플리케이션을 클라우드로 전환하게 만드는 가장 큰 가용성 및 보안 문제 중 일부입니다. DDoS 공격은 애플리케이션의 리소스를 소진시켜서 정상적인 사용자가 애플리케이션을 사용할 수 없게 생성합니다. 인터넷을 통해 공개적으로 도달 가능한 모든 엔드포인트는 DDoS 공격의 대상이 될 수 있습니다.
애플리케이션 설계 모범 사례와 결합된 Azure DDoS Protection은 DDoS 공격으로부터 방어하기 위해 향상된 DDoS 완화 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다. 보호는 새 가상 네트워크 또는 기존 가상 네트워크에서 간단하게 설정할 수 있으며 애플리케이션 또는 리소스를 변경할 필요가 없습니다.
Azure DDoS Protection은 계층 3 및 계층 4 네트워크 계층에서 보호합니다. 계층 7의 웹 애플리케이션 보호를 위해서는 WAF 제품을 사용하여 애플리케이션 계층에 보호를 추가해야 합니다. 자세한 내용은 애플리케이션 DDoS 보호를 참조하세요.
계층
DDoS Network Protection
애플리케이션 설계 모범 사례와 결합된 Azure DDoS Network Protection은 DDoS 공격으로부터 방어하기 위해 향상된 DDoS 완화 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다. DDoS Network Protection을 사용하도록 설정하는 방법에 대한 자세한 내용은 빠른 시작: Azure Portal을 사용하여 Azure DDoS Network Protection 만들기 및 구성을 참조하세요.
DDoS IP Protection
DDoS IP Protection은 보호된 IP당 요금 모델입니다. DDoS IP Protection에는 DDoS Network Protection와 동일한 핵심 엔지니어링 기능이 포함되어 있지만 DDoS 신속한 대응 지원, 비용 보호 및 WAF 할인과 같은 부가 가치 서비스가 다릅니다. DDoS IP Protection을 사용하도록 설정하는 방법에 대한 자세한 내용은 빠른 시작: Azure PowerShell을 사용하여 Azure DDoS IP Protection 만들기 및 구성을 참조하세요.
계층에 대한 자세한 내용은 DDoS Protection 계층 비교를 참조하세요.
주요 기능
트래픽 항시 모니터링: DDoS 공격의 징후를 찾기 위해 애플리케이션 트래픽 패턴이 24시간 매일(주 7일) 모니터링됩니다. Azure DDoS Protection은 공격이 검색되면 즉시 자동으로 완화합니다.
적응형 실시간 튜닝: 지능형 트래픽 프로파일링으로 시간별 애플리케이션 트래픽을 학습하고, 사용자의 서비스에 가장 적합한 프로필을 업데이트합니다. 장기적으로 트래픽이 변경되면 프로필도 조정됩니다.
DDoS Protection 분석, 메트릭 및 경고:Azure DDoS Protection 표준은 DDoS를 사용하도록 설정된 가상 네트워크에서 보호되는 리소스의 각 공용 IP에 대해 자동 조정된 세 가지 완화 정책(TCP SYN, TCP 및 UDP)을 적용합니다. 정책 임계값은 기계 학습 기반의 네트워크 트래픽 프로파일링을 통해 자동으로 구성됩니다. 정책 임계값을 초과하면 공격을 받고 있는 IP 주소에 대해 DDoS 완화가 발생합니다.
공격 분석: 공격 진행 중에 5분 단위로 세부 보고서를 가져오고, 공격이 종료된 후에는 전체 요약을 가져옵니다. 스트림 완화 흐름은 공격 진행 중에 근 실시간 모니터링을 위해 Microsoft Sentinel 또는 오프라인 SIEM(보안 정보 및 이벤트 관리) 시스템에 로그됩니다. 자세한 내용은 DDoS 진단 로깅 보기 및 구성을 참조하세요.
공격 메트릭: Azure Monitor를 통해 각 공격으로부터 요약된 메트릭에 액세스할 수 있습니다. 자세한 내용은 DDoS 보호 원격 분석 보기 및 구성을 참조하세요.
공격 경고: 기본 제공되는 공격 메트릭을 사용하여 공격 시작 및 중지 시와 공격이 진행되는 동안 경고를 구성할 수 있습니다. 경고는 Microsoft Azure Monitor 로그, Splunk, Azure Storage, 이메일 및 Azure Portal과 같은 작업 소프트웨어에 통합됩니다. 자세한 내용은 DDoS 보호 경고 보기 및 구성을 참조하세요.
Azure DDoS 신속 응답: 공격이 진행되는 동안 고객은 공격 조사 및 공격 후 분석에 도움을 줄 수 있는 DRR(DDoS 신속 응답) 팀에 액세스할 수 있습니다. 자세한 내용은 Azure DDoS Rapid Response를 참조하세요.
네이티브 플랫폼 통합: 기본적으로 Azure에 통합됩니다. Azure Portal을 통해 구성을 포함합니다. Azure DDoS Protection은 리소스 및 리소스 구성을 이해합니다.
턴키 보호: 간소화된 구성은 DDoS 네트워크 보호가 사용하도록 설정되는 즉시 가상 네트워크의 모든 리소스를 즉시 보호합니다. 작업 또는 사용자 정의가 필요하지 않습니다. 마찬가지로 단순화된 구성은 DDoS IP 보호가 사용하도록 설정되면 공용 IP 리소스를 즉시 보호합니다.
다중 계층 보호:WAF(웹 애플리케이션 방화벽)와 함께 배포된 경우 Azure DDoS Protection은 네트워크 계층(Azure DDoS Protection에서 제공하는 계층 3 및 4)과 애플리케이션 계층(WAF에서 제공하는 계층 7) 모두에서 보호합니다. WAF 제품에는 Azure Marketplace에서 사용할 수 있는 Azure Application Gateway WAF SKU 및 타사 웹 애플리케이션 방화벽 제품이 포함됩니다.
광범위한 완화 규모: 모든 L3/L4 공격 벡터는 알려진 최대 규모의 DDoS 공격으로부터 보호하기 위해 전역 용량으로 완화될 수 있습니다.
비용 보장: 문서화된 DDoS 공격의 결과로 발생하는 리소스 비용에 대한 데이터 전송 및 애플리케이션 확장 서비스 크레딧을 받습니다.
아키텍처
Azure DDoS Protection은 가상 네트워크에 배포된 서비스용으로 설계되었습니다. 다른 서비스의 경우 일반적인 네트워크 계층 공격을 방어하는 기본 인프라 수준 DDoS 보호가 적용됩니다. 지원되는 아키텍처에 대해 자세히 알아보려면 DDoS Protection 참조 아키텍처를 참조하세요.
가격 책정
DDoS 네트워크 보호의 경우 테넌트에서 단일 DDoS 보호 계획을 여러 구독에서 사용할 수 있으므로 둘 이상의 DDoS 보호 계획을 만들 필요가 없습니다. DDoS IP 보호의 경우 DDoS 보호 계획을 만들 필요가 없습니다. 고객은 모든 공용 IP 리소스에서 DDoS IP 보호를 사용하도록 설정할 수 있습니다.
Azure DDoS Protection 가격 책정에 대해 알아보려면 Azure DDoS Protection 가격 책정을 참조하세요.
좋은 연습 방법
다음 모범 사례를 따르면 DDoS 보호 및 완화 전략의 효과를 최대화할 수 있습니다.
- 중복성과 복원력을 염두에 두고 애플리케이션과 인프라를 설계합니다.
- 네트워크, 애플리케이션, 데이터 보호를 포함한 다중 계층 보안 방식을 구현합니다.
- DDoS 공격에 대한 조율된 응답을 보장하기 위해 인시던트 대응 계획을 준비합니다.
모범 사례에 대해 자세히 알아보려면 기본 모범 사례를 참조하세요.
FAQ
질문과 대답은 DDoS 보호 FAQ를 참조하세요.