아키텍처를 설계할 때 분산 서비스 거부(DDoS) 공격에 대한 보호를 유지하면서 보안 요구 사항과 재무 제약 조건의 균형을 유지합니다. DDoS 보호 기능에 대한 개요는 DDoS Protection 기능을 참조하세요. 고려해야 할 주요 사항은 다음과 같습니다.
- 할당된 예산을 통해 보안 및 가용성 목표를 달성할 수 있나요?
- 워크로드 전체에서 DDoS 보호에 대한 지출 패턴은 무엇인가요?
- 더 나은 리소스 선택 및 사용률을 통해 보호 투자를 어떻게 극대화할 수 있을까요?
비용 최적화 DDoS 보호 전략이 항상 가장 낮은 비용 옵션이 아닌 것은 아닙니다. 보안 효율성과 재무 효율성의 균형을 유지해야 합니다. 전술적 비용 절감은 보안 취약성을 야기할 수 있습니다. 장기적인 보호 및 재정적 책임을 달성하려면 위험 기반 우선 순위 지정, 지속적인 모니터링 및 반복 가능한 프로세스를 사용하여 전략을 만듭니다.
권장되는 접근 방식부터 시작하여 보안 요구 사항에 대한 이점을 정당화합니다. 전략을 설정한 후 정기적인 평가 및 최적화 주기를 통해 이러한 원칙을 사용합니다. 비용 관리에 대한 포괄적인 지침은 Azure Cost Management 설명서 및 Azure 가격 계산기를 참조하세요.
보호 디시플린 개발
DDoS 보호를 위한 비용 최적화를 위해서는 위험 프로필을 이해하고 보호 투자를 비즈니스 우선 순위에 맞게 조정해야 합니다. 보호 결정에 대한 명확한 거버넌스 및 책임을 설정합니다. 거버넌스 프레임워크에 대한 자세한 내용은 Azure 거버넌스 설명서를 참조하세요.
| Recommendation | Benefit |
|---|---|
| 모든 공용 IP 주소 및 해당 비즈니스 중요도 수준을 카탈로그로 만드는 포괄적인 자산 인벤토리를 개발합니다. | 전체 인벤토리를 사용하면 위험 기반 보호 결정을 내릴 수 있으며, 비용이 많이 드는 보호를 과도하게 프로비전하고 중요한 자산을 보호되지 않도록 방지할 수 있습니다. 실제 비즈니스 영향에 따라 보호 투자의 우선 순위를 지정할 수 있습니다. |
| 보안, 운영 및 재무 팀에 대해 정의된 역할을 사용하여 보호 결정에 대한 명확한 책임을 수립합니다. | 명확한 책임은 보호 결정이 보안 요구 사항과 예산 제약 조건을 모두 고려하도록 보장합니다. 공동 의사 결정은 보안을 손상시키거나 예산을 초과할 수 있는 사일로된 선택을 방지합니다. |
| 즉각적인 보호 요구 사항과 공공용 리소스의 계획된 성장을 모두 고려하는 현실적인 예산을 만듭니다. | 적절한 예산 책정은 예측 가능한 보호 비용을 가능하게 하고 보안 인시던트 중에 사후 결정을 방지합니다. 인프라가 증가함에 따라 보호 확장을 계획할 수 있습니다. |
| 다양한 자산 유형에 대한 최소 보호 수준 및 표준화된 정책을 정의하는 위험 평가 프레임워크를 구현합니다. | 위험 기반 프레임워크는 일관된 보호 결정을 보장하면서 DDoS 공격 위험을 평가하는 구조화된 접근 방식을 제공합니다. 중요한 자산을 식별하고, 취약성을 평가하고, 비즈니스 영향 및 위험 허용 오차에 따라 적절한 보호 조치를 결정하여 중요한 자산의 보호 부족과 저위험 리소스의 과잉 보호를 방지합니다. |
올바른 보호 모델 선택
Azure DDoS Protection은 비용 구조와 보호 범위가 다른 두 가지 가격 책정 모델을 제공합니다. 리소스 배포 및 보호 요구 사항에 맞는 모델을 선택합니다. DDoS 보호 SKU 및 가격 책정에 대한 자세한 내용은 DDoS 보호 SKU 및 Azure DDoS Protection 가격 비교를 참조하세요.
| Recommendation | Benefit |
|---|---|
| 전체 가상 네트워크가 아닌 특정 중요한 리소스를 보호해야 하는 경우 IP 보호를 선택합니다. | 보호된 공용 IP 주소에 대해서만 비용을 지불하므로 비임계 리소스에 대한 비용을 방지할 수 있습니다. 이 대상 접근 방식은 세분화된 비용 제어를 제공하며 네트워크당 요금 없이 여러 가상 네트워크에서 보호를 사용하도록 설정합니다. IP 보호를 구성하려면 DDoS IP Protection 구성을 참조하세요. |
| 모든 보호가 필요한 단일 가상 네트워크에 공용 IP 주소(일반적으로 10개 이상)가 많은 경우 네트워크 보호를 선택합니다. | 네트워크 보호는 포괄적인 보호 시나리오에 더 나은 가치를 제공합니다. 새 리소스에 대한 자동 보호와 가상 네트워크당 예측 가능한 월별 비용으로 간소화된 관리를 얻을 수 있습니다. 네트워크 보호를 구성하려면 DDoS IP Protection 구성을 참조하세요. |
| 예산 제약 조건 및 가상 네트워크 리소스 배포를 고려하면서 중요 비즈니스용 자산의 우선 순위를 지정하는 단계적 보호 롤아웃 계획을 개발합니다. | 이 체계적인 접근 방식은 비용을 관리하면서 필수 엔드포인트에 대한 즉각적인 보호를 보장합니다. 위험 평가, 사용 가능한 예산에 따라 보호를 확장하고 가상 네트워크당 보호 모델을 최적화하여 저밀도 네트워크에 대한 과다 지출을 방지할 수 있습니다. |
아키텍처 효율성을 위한 디자인
보안 및 기능을 유지하면서 보호가 필요한 공용 IP 주소 수를 줄이도록 아키텍처를 최적화합니다. 아키텍처 결정은 보호 비용에 직접적인 영향을 줍니다. 아키텍처 지침은 Azure Well-Architected Framework 및 Azure 아키텍처 센터를 참조하세요.
| Recommendation | Benefit |
|---|---|
| Azure Private Link 및 가상 네트워크 피어링과 같은 네트워크 구분을 사용하여 공용 및 내부 리소스를 구분합니다. | 내부 통신에 프라이빗 연결을 사용하는 동안 진정한 공개 리소스에 대한 보호 지출을 집중할 수 있습니다. 이렇게 하면 내부 경로에 대한 DDoS 보호 요구 사항이 제거되며 보안이 향상되는 동시에 비용이 절감됩니다. |
| 부하 분산 및 콘텐츠 배달 네트워크의 적절한 사용을 통해 직접 공용 IP 노출을 최소화하도록 애플리케이션 아키텍처를 설계합니다. | 아키텍처 효율성은 보호 범위 및 관련 비용을 줄입니다. 여러 서비스를 직접 노출하지 않고 단일 또는 몇 개의 퍼블릭 엔드포인트를 통해 전체 애플리케이션을 보호할 수 있는 경우가 많습니다. 보호가 필요한 공용 IP 주소 수가 적어 비용을 직접 절감할 수 있습니다. 또한 통합은 공격 표면을 줄여 보안을 개선하고 보호 관리를 간소화합니다. |
리소스 사용률 최적화
포함된 기능을 사용하고 보호를 실제 사용 패턴에 맞게 조정하여 보호 투자에서 가장 큰 가치를 얻을 수 있습니다.
| Recommendation | Benefit |
|---|---|
| 보호 모니터링 및 분석에 대한 추가 비용 없이 Azure Monitor 통합 및 기본 제공 원격 분석을 활용합니다. | 포함된 모니터링 기능을 사용하여 보호 투자에서 최대 가치를 얻을 수 있습니다. 이를 통해 추가 비용 없이 지속적인 최적화에 필요한 공격 가시성 및 트래픽 분석을 제공합니다. |
| 보호 범위를 실제 수요 패턴과 일치하도록 보호된 리소스에 대한 자동화된 크기 조정을 구현합니다. | 동적 크기 조정을 사용하면 트래픽 급증 시 보호를 유지하면서 수요가 적은 기간 동안 과도하게 프로비저닝하지 않도록 방지할 수 있습니다. 생성된 실제 비즈니스 가치와 보호 비용을 조정합니다. |
시간 경과에 따른 모니터링 및 최적화
인프라가 발전함에 따라 보호가 변경되어야 합니다. 비용 효율성을 유지하기 위해 지속적인 모니터링 및 정기적인 최적화 주기를 설정합니다.
| Recommendation | Benefit |
|---|---|
| DDoS 보호 지출이 미리 정의된 예산 임계값에 접근할 때 비용 경고를 구성합니다. | 사전 알림은 예산 초과를 방지하고 보호 전략을 적시에 조정할 수 있도록 합니다. 다른 이니셔티브에 영향을 주기 전에 비용 증가에 대응할 수 있습니다. 비용 경고를 만들려면 Cost Management에서 비용 경고를 사용하여 사용량 및 지출 모니터링을 참조하세요. |
| 보호된 리소스 및 비즈니스 중요도에 대한 분기별 검토를 수행하여 최적화 기회를 식별합니다. | 정기적인 검토를 통해 보호 투자가 비즈니스 우선 순위에 맞게 유지됩니다. 더 이상 보호가 필요하지 않거나 중요도 변경에 따라 업그레이드된 보호가 필요한 리소스를 식별할 수 있습니다. |
| 공격 패턴 및 보호 효율성을 모니터링하여 검사 결정을 최적화합니다. 클라우드용 Microsoft Defender에서 경고를 보고Log Analytics 작업 영역에서 DDoS Protection 로그를 활용합니다. | 실제 위협 패턴을 이해하면 데이터 기반 보호 결정을 내릴 수 있습니다. 이론적 위험보다는 실제 공격 데이터를 기반으로 보호 수준을 조정할 수 있습니다. |
| ROI(보호 수익)를 추적하고비용 관리 모범 사례를 사용하여 수 명 주기 관리를 구현하여 가치를 측정하고 불필요한 보호를 해제합니다. | ROI 측정은 보호 가치를 보여주고 향후 투자 결정을 안내합니다. 비활성 또는 중요하지 않은 리소스를 정기적으로 정리하면 우선 순위가 높은 리소스에 대한 예산을 확보하면서 비즈니스 가치와 일치하지 않는 지출 증가를 방지할 수 있습니다. |