Front Door의 DDoS 보호

  • 아티클

Azure Front Door는 전 세계 192개 에지 POP에 트래픽을 분산하여 HTTP(S) DDoS 공격으로부터 원본을 보호하는 데 도움이 되는 CDN(Content Delivery Network)입니다. 이러한 POP는 대규모 프라이빗 WAN을 사용하여 웹 애플리케이션 및 서비스를 최종 사용자에게 더 빠르고 안전하게 제공합니다. Azure Front Door에는 일반적인 악용 및 취약성으로부터 애플리케이션을 보호하는 데 도움이 되는 계층 3, 4, 7 DDoS 보호 및 WAF(웹 애플리케이션 방화벽)도 포함되어 있습니다.

인프라 DDoS 보호

Azure Front Door는 기본 Azure 인프라 DDoS 보호의 이점을 누릴 수 있습니다. 이 보호는 Front Door 네트워크의 글로벌 규모와 용량을 사용하여 실시간으로 네트워크 계층 공격을 모니터링하고 완화합니다. 또한 이 보호 기능은 대규모 공격으로부터 Microsoft의 엔터프라이즈 및 소비자 서비스를 보호하는 것으로 입증된 추적 기록을 포함합니다.

프로토콜 차단

Azure Front Door는 HTTP 및 HTTPS 프로토콜만 지원하며 각 요청에 대해 유효한 'host' 헤더가 필요합니다. 이 동작은 다양한 프로토콜 및 포트를 사용하는 대량 공격, DNS 증폭 공격 및 TCP 중독 공격과 같은 몇 가지 일반적인 DDoS 공격 유형을 방지하는 데 도움이 됩니다.

용량 흡수

Azure Front Door는 전 세계적으로 분산된 대규모 서비스입니다. 초당 수십만 개의 요청을 처리하는 Microsoft의 자체 클라우드 제품을 비롯한 많은 제품이 많은 고객에게 서비스를 제공합니다. Front Door는 Azure 네트워크의 가장자리에 위치하여 대규모 볼륨 공격을 가로채고 지리적으로 격리할 수 있습니다. 따라서 Front Door는 악의적인 트래픽이 Azure 네트워크의 가장자리 너머까지 도달하지 못하게 할 수 있습니다.

캐싱

Front Door의 캐싱 기능을 사용하여 공격에 의해 생성된 대량 트래픽 볼륨의 백 엔드를 보호할 수 있습니다. Front Door 에지 노드는 캐시된 리소스를 반환하며, 백 엔드로 전달되지 못하게 합니다. 동적 응답에 대한 짧은 캐시 만료 시간(초 또는 분)도 백 엔드 서비스의 부하를 크게 줄일 수 있습니다. 캐싱 개념 및 패턴에 대한 자세한 내용은 캐싱 고려 사항캐시 배제 패턴을 참조하세요.

Web Application Firewall(WAF)

Front Door의 WAF(웹 애플리케이션 방화벽)를 사용하여 다양한 유형의 공격을 완화할 수 있습니다.

  • 관리형 규칙 집합은 많은 일반적인 공격으로부터 애플리케이션을 보호합니다. 자세한 내용은 관리형 규칙을 참조하세요.
  • 특정 지리적 지역의 외부 또는 내부에서 정적 웹 페이지로의 트래픽을 차단하거나 이러한 방향으로 리디렉션할 수 있습니다. 자세한 내용은 지역 필터링을 참조하세요.
  • 악성으로 식별하는 IP 주소 및 범위는 차단할 수 있습니다. 자세한 내용은 IP 제한을 참조하세요.
  • 요금 제한을 적용하여 IP 주소가 서비스를 너무 자주 호출하지 않도록 방지할 수 있습니다. 자세한 내용은 속도 제한을 참조하세요.
  • 사용자 지정 WAF 규칙을 만들어 알려진 서명이 있는 HTTP 또는 HTTPS 공격을 자동으로 차단 및 속도 제한을 할 수 있습니다.
  • 봇 보호 관리형 규칙 집합은 알려진 잘못된 봇으로부터 애플리케이션을 보호합니다. 자세한 내용은 봇 보호 구성을 참조하세요.

DDoS 공격으로부터 보호하기 위해 Azure WAF를 사용하는 방법에 대한 지침은 애플리케이션 DDoS 보호를 참조하세요.

가상 네트워크 원본 보호

DDoS 공격에서 공용 IP를 보호하려면 원본 가상 네트워크에서 Azure DDoS Protection을 사용하도록 설정합니다. DDoS Protection 고객은 비용 보호, SLA 보증, 공격 중 즉각적인 도움을 받을 수 있는 DDoS 신속 대응 팀의 전문가 액세스 등의 추가 혜택을 받습니다.

Azure Private Link를 통해 Azure Front Door에 대한 액세스를 제한하여 Azure 호스팅 원본의 보안을 강화합니다. 이 기능을 사용하면 Azure Front Door와 애플리케이션 서버 간에 프라이빗 네트워크 연결을 사용할 수 있으므로 원본을 공용 인터넷에 노출할 필요가 없습니다.

다음 단계