Azure DDoS Protection이란?

DDoS(배포된 서비스 거부) 공격은 고객이 애플리케이션을 클라우드로 전환하게 만드는 가장 큰 가용성 및 보안 문제 중 일부입니다. DDoS 공격은 애플리케이션의 리소스를 소진시켜서 정상적인 사용자가 애플리케이션을 사용할 수 없게 생성합니다. 인터넷을 통해 공개적으로 도달 가능한 모든 엔드포인트는 DDoS 공격의 대상이 될 수 있습니다.

애플리케이션 디자인 모범 사례와 결합된 Azure DDoS Protection은 DDoS 공격 방어에 향상된 DDoS 완화 기능을 제공합니다. 가상 네트워크에서 특정 Azure 리소스를 보호하도록 자동으로 조정됩니다. 보호는 새 가상 네트워크 또는 기존 가상 네트워크에서 간단하게 설정할 수 있으며 애플리케이션 또는 리소스를 변경할 필요가 없습니다.

DDoS로 보호된 PaaS 웹 애플리케이션에 대한 참조 아키텍처의 다이어그램

주요 이점

Always-On 트래픽 모니터링

DDoS 공격의 징후를 찾기 위해 애플리케이션 트래픽 패턴이 24시간 매일 모니터링됩니다. Azure DDoS Protection은 검색되면 즉시 자동으로 공격을 완화합니다.

적응형 실시간 조정

지능형 트래픽 프로파일링으로 시간별 애플리케이션 트래픽을 학습하고, 사용자의 서비스에 가장 적합한 프로필을 선택하여 업데이트합니다. 트래픽이 시간이 지남에 따라 변경되면서 프로필이 조정됩니다.

DDoS Protection 원격 분석, 모니터링 및 경고

Azure DDoS Protection은 DDoS를 사용하도록 설정된 가상 네트워크에서 보호된 리소스의 각 공용 IP에 대해 세 가지 자동 조정 완화 정책(TCP SYN, TCP 및 UDP)을 적용합니다. 정책 임계값은 기계 학습 기반의 네트워크 트래픽 프로파일링을 통해 자동으로 구성됩니다. 정책 임계값을 초과하면 공격을 받고 있는 IP 주소에 대해 DDoS 완화가 발생합니다.

Azure DDoS 빠른 응답

활성 공격 중에 Azure DDoS Protection 고객은 공격 및 공격 후 분석 중에 공격 조사를 도울 수 있는 DDoS DRR(신속한 대응) 팀에 액세스할 수 있습니다. 자세한 내용은 Azure DDoS Rapid Response를 참조하세요.

SKU

Azure DDoS Protection은 사용 가능한 두 SKU인 DDoS IP Protection 미리 보기 및 DDoS 네트워크 보호로 제공됩니다. SKU에 대한 자세한 내용은 SKU 비교를 참조하세요.

네이티브 플랫폼 통합

기본적으로 Azure에 통합됩니다. Azure Portal을 통해 구성을 포함합니다. Azure DDoS Protection은 리소스 및 리소스 구성을 이해합니다.

턴키 보호

간소화된 구성은 DDoS 네트워크 보호가 활성화되는 즉시 가상 네트워크의 모든 리소스를 보호합니다. 작업 또는 사용자 정의가 필요하지 않습니다. 마찬가지로, 간소화된 구성은 DDoS IP 보호가 사용하도록 설정된 경우 공용 IP 리소스를 즉시 보호합니다.

다중 계층 보호

WAF(웹 애플리케이션 방화벽)로 배포된 경우 Azure DDoS Protection은 네트워크 계층(Azure DDoS Protection에서 제공하는 계층 3 및 4) 및 애플리케이션 계층(WAF에서 제공하는 계층 7)에서 모두 보호합니다. WAF 제품에는 Azure Marketplace에서 사용할 수 있는 Azure Application Gateway WAF SKU 및 타사 웹 애플리케이션 방화벽 제품이 포함됩니다.

광범위한 완화 규모

모든 L3/L4 공격 벡터는 알려진 최대 규모의 DDoS 공격으로부터 보호하기 위해 전역 용량으로 완화될 수 있습니다.

공격 분석

공격 진행 중에 5분 단위로 세부 보고서를 가져오고, 공격이 종료된 후에는 전체 요약을 가져옵니다. 스트림 완화 흐름은 공격 진행 중에 근 실시간 모니터링을 위해 Microsoft Sentinel 또는 오프라인 SIEM(보안 정보 및 이벤트 관리) 시스템에 로그됩니다. 자세한 내용은 DDoS 진단 로깅 보기 및 구성을 참조하세요.

공격 메트릭

Azure Monitor를 통해 각 공격을 요약한 메트릭에 액세스할 수 있습니다. 자세한 내용은 DDoS 보호 원격 분석 보기 및 구성을 참조하세요.

공격 경고

기본 제공되는 공격 메트릭을 사용하여 공격 시작 및 중지 시, 그리고 공격이 진행되는 동안 경고를 구성할 수 있습니다. 경고는 Microsoft Azure Monitor 로그, Splunk, Azure Storage, 이메일 및 Azure Portal과 같은 작업 소프트웨어에 통합됩니다. 자세한 내용은 DDoS 보호 경고 보기 및 구성을 참조하세요.

비용 보장

문서화된 DDoS 공격의 결과로 발생하는 리소스 비용에 대한 데이터 전송 및 애플리케이션 확장 서비스 크레딧을 받습니다.

Architecture

Azure DDoS Protection은 가상 네트워크에 배포된 서비스를 위해 설계되었습니다. 다른 서비스의 경우 일반적인 네트워크 계층 공격을 방어하는 기본 인프라 수준 DDoS 보호가 적용됩니다. 지원되는 아키텍처에 대해 자세히 알아보려면 DDoS Protection 참조 아키텍처를 참조하세요.

가격 책정

DDoS 네트워크 보호의 경우 테넌트에서 여러 구독에서 단일 DDoS 보호 계획을 사용할 수 있으므로 둘 이상의 DDoS 보호 계획을 만들 필요가 없습니다. DDoS IP Protection의 경우 DDoS 보호 계획을 만들 필요가 없습니다. 고객은 모든 공용 IP 리소스에서 DDoS를 사용하도록 설정할 수 있습니다.

Azure DDoS Protection 가격 책정에 대한 자세한 내용은 Azure DDoS Protection 가격 책정을 참조하세요.

DDoS 방어 FAQ

질문과 대답은 DDoS 보호 FAQ를 참조하세요.

다음 단계