Azure DDoS Protection 질문과 대답

분산 서비스 거부 또는 DDoS는 공격자가 애플리케이션이 처리할 수 있는 것보다 많은 요청을 애플리케이션에 전송하는 공격 유형입니다. 결과적으로 리소스가 고갈되어 애플리케이션의 가용성 및 고객 서비스 기능에 영향을 줍니다. 지난 몇 년 동안 업계에서는 공격이 점점 더 정교해지고 규모도 커지고 있습니다. 인터넷을 통해 공개적으로 도달 가능한 모든 엔드포인트는 DDoS 공격의 대상이 될 수 있습니다.

애플리케이션 설계 모범 사례와 결합된 Azure DDoS Protection은 DDoS 공격으로부터 방어하기 위해 향상된 DDoS 완화 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다. 보호는 새 가상 네트워크 또는 기존 가상 네트워크에서 간단하게 설정할 수 있으며 애플리케이션 또는 리소스를 변경할 필요가 없습니다. 자세한 내용은 Azure DDoS Protection 개요를 참조하세요. 

DDoS 보호 계획에는 최대 100개의 공용 IP 주소를 포함하는 고정 월별 요금이 있습니다. 추가 리소스에 대한 보호를 사용할 수 있습니다.

테넌트에서 단일 DDoS Protection 플랜을 여러 구독에서 사용할 수 있으므로 둘 이상의 DDoS Protection 플랜을 만들 필요가 없습니다.

WAF가 포함된 Application Gateway가 DDoS 보호 VNet에 배포되면 WAF에 대한 추가 비용이 없습니다. Application Gateway의 경우 더 낮은 비WAF 요금을 지불합니다. 이 정책은 Application Gateway v1 및 v2 SKU 모두에 적용됩니다.

가격 책정 및 자세한 내용은 Azure DDoS Protection 가격 책정을 참조하세요.

15개 미만의 공용 IP 리소스를 보호해야 하는 경우 IP 보호 계층이 더 비용 효과적인 옵션입니다. 보호할 공용 IP 리소스가 15개가 넘는 경우 네트워크 보호 계층이 더 비용 효율적입니다. 또한 네트워크 보호는 DRR(DDoS Protection 신속 대응), 비용 보호 보장, WAF(Web Application Firewall) 할인 등의 추가 기능도 제공합니다.

예. Azure DDoS Protection은 기본적으로 영역 복원력이 있습니다.

영역 복원력을 사용하도록 설정하기 위한 고객 구성은 필요 없습니다. Azure DDoS Protection 리소스의 영역 복원력은 기본적으로 제공되며 서비스 자체에서 관리합니다.

고객은 네트워크 계층(Azure DDoS Protection에서 제공하는 레이어 3 및 4) 및 애플리케이션 계층(WAF에서 제공하는 계층 7)에서 보호를 위해 WAF(웹 애플리케이션 방화벽)와 함께 Azure DDoS Protection 서비스를 사용할 수 있습니다. WAF 제품에는 Azure Marketplace에서 사용할 수 있는 Azure Application Gateway WAF SKU 및 타사 웹 애플리케이션 방화벽 제품이 포함됩니다.

Azure에서 실행되는 서비스는 기본적으로 기본 인프라 수준 DDoS 보호로 보호됩니다. 그러나 인프라를 보호하는 보호 기능은 대부분의 애플리케이션에서 처리할 수 있는 것보다 훨씬 더 높은 임계값을 가지며, 원격 분석 또는 경고를 제공하지 않으므로 트래픽 볼륨이 플랫폼에서는 무해한 것으로 인식될 수 있지만 수신하는 애플리케이션에는 심각한 영향을 미칠 수 있습니다.

애플리케이션은 Azure DDoS Protection 서비스에 온보딩하여 공격 및 애플리케이션별 임계값을 감지하는 전용 모니터링을 얻습니다. 서비스는 예상되는 트래픽 볼륨에 맞게 조정되는 프로필을 사용하여 보호되며 DDoS 공격에 대해 훨씬 더 견고한 방어를 제공합니다.

ARM 기반 VNET의 공용 IP는 현재 보호되는 유일한 종류의 리소스입니다. 보호되는 리소스에는 IaaS VM, Load Balancer(Classic 및 Standard Load Balancer), Application Gateway(WAF 포함) 클러스터, 방화벽, Bastion, VPN Gateway, Service Fabric 또는 IaaS 기반 NVA(Network Virtual Appliance)에 연결된 공용 IP가 포함됩니다. 보호는 BYOIP(사용자 지정 IP 접두사)를 통해 Azure로 가져온 공용 IP 범위도 포함합니다.

제한 사항에 대해 알아보려면 Azure DDoS Protection 참조 아키텍처를 참조하세요.

ARM 기반 보호된 리소스만 미리 보기에서 지원됩니다. 클래식/RDFE 배포의 VM은 지원되지 않습니다. 현재 클래식/RDFE 리소스에 대한 지원은 계획되지 않습니다. 자세한 내용은 Azure DDoS Protection 참조 아키텍처를 참조하세요.

다중 테넌트, 단일 VIP PaaS 서비스에 연결된 공용 IP는 현재 지원되지 않습니다. 지원되지 않는 리소스의 예로는 스토리지 VIP, Event Hubs VIP 및 App/Cloud Services 애플리케이션이 있습니다. 자세한 내용은 Azure DDoS Protection 참조 아키텍처를 참조하세요.

Azure의 VNet에 연결된 서비스의 퍼블릭 엔드포인트에서 DDoS Protection을 사용하도록 설정해야 합니다. 예제 디자인은 다음과 같습니다.

• Azure의 웹 사이트(IaaS) 및 온-프레미스 데이터 센터의 백 엔드 데이터베이스
• Azure의 Application Gateway(App Gateway/WAF에서 DDoS Protection이 사용하도록 설정됨) 및 온-프레미스 데이터 센터의 웹 사이트

자세한 내용은 Azure DDoS Protection 참조 아키텍처를 참조하세요.

공용 IP 시나리오의 경우 연결된 공용 IP가 Azure에서 호스트되는 한, DDoS Protection 서비스는 연결된 도메인이 등록되거나 호스트되는 위치에 관계 없이 모든 애플리케이션을 지원합니다.

아니요, 아쉽게도 지금은 정책 사용자 지정을 사용할 수 없습니다.

아니요, 아쉽게도 수동 구성은 현재 사용할 수 없습니다.

시뮬레이션을 통해 테스트를 참조하세요.

메트릭은 5분 이내에 Portal에 표시되어야 합니다. 리소스가 공격을 받고 있는 경우 다른 메트릭은 5-7분 내에 Portal에 표시되기 시작합니다.

아니요, Azure DDoS Protection은 고객 데이터를 저장하지 않습니다.

단일 VM이 공용 IP 뒤에서 실행되는 시나리오는 지원되지만 권장되지 않습니다. DDoS 공격이 검색되면 DDoS 완화가 즉시 시작되지 않을 수 있습니다. 따라서 이러한 경우 스케일 아웃할 수 없는 단일 VM 배포가 중단됩니다. 자세한 내용은 기본 모범 사례를 참조하세요.