Azure DDoS Protection을 사용해야 하는 경우
여기에서 DDoS 인프라 보호 및 DDoS Protection 서비스를 비교하여 업그레이드의 이점을 더욱 확실하게 파악합니다. 이 단원에서는 DDoS Protection SKU 사이의 주요 차이점과 애플리케이션에 DDoS 공격에 대한 복원력을 구축하는 방법에 관하여 알아봅니다. 이 정보를 사용하여 Contoso에 적합한 SKU를 결정합니다.
Azure에 DDoS 복원 서비스 구축
Azure DDoS 인프라 보호는 무료로 Azure에 배포된 모든 서비스를 자동으로 보호합니다. 또한 애플리케이션이나 사용자의 구성을 변경할 필요가 없습니다.
Azure DDoS 인프라 보호에서 Azure DDoS Protection으로 업그레이드할지 여부를 결정할 때 주요 Azure 리소스의 DDoS 공격에 대한 위험 분석을 수행하는 것이 중요합니다. 사용 가능한 기본 제공 DDoS 서비스가 있더라도 배포 후 보호에만 의존하는 것은 좋지 않습니다. 복원력이 뛰어나고 서비스 거부 공격을 견디거나 빠르게 복구할 수 있는 애플리케이션을 구축하는 것이 중요합니다.
워크로드 복원력을 위한 Azure 프레임워크
Azure 팀은 복원력을 위한 워크로드 설계용 프레임워크를 게시했습니다. 이 프레임워크는 워크로드의 품질을 향상시키기 위해 따를 수 있는 안내 원칙의 모음입니다.
워크로드를 구축 또는 배포할 때 다음을 목적으로 설계하는 것이 중요합니다.
- 보안. 개발 수명 주기 초반에 보안 요건을 식별하고 문서화합니다. 이 연습을 통해 애플리케이션의 전체 수명 주기 동안 보안의 우선 순위를 유지할 수 있습니다. 잘못 설계된 애플리케이션에는 과도한 리소스를 사용하는 비효율적인 루틴이 있을 수 있으며, 이로 인해 요청 비율이 낮음에도 서비스 중단이 발생할 수 있습니다.
- 확장성 Azure는 애플리케이션의 수평 자동 스케일링을 제공합니다. 하지만 DDoS 공격이 발생하는 경우 이 수요를 충족할 수 있도록 애플리케이션을 설계해야 합니다. 애플리케이션이 서비스의 단일 배포에 의존하는 경우 단일 실패 지점이 발생하게 됩니다. 여러 인스턴스를 프로비전하면 시스템에 복원성 및 확장성이 증가하게 됩니다.
- 심층 방어. 심층 방어는 여러 보안 조치를 사용하여 조직의 자산을 보호하는 전략입니다. 계층화하고 Azure 서비스에 대한 보안 방어를 복제하여 공격의 성공 가능성을 낮출 수 있습니다. 또한 기본 제공 Azure 플랫폼의 기능을 파악하고 이해하여 설계의 보안 및 견고성을 향상시킬 수 있습니다. Azure 서비스 사용의 추가 이점은 애플리케이션의 공격 표면 감소입니다. 심층 방어는 조직의 모든 보안 조치를 통합하여 애플리케이션 보안과 관련이 있는 모든 문제를 처리합니다.
이러한 조치는 보안을 강화하고 규정 요건을 준수하는 데 도움이 될 수 있습니다. DDoS 복원 애플리케이션 구축을 위한 고려 사항을 처리한 후에는 필요한 Azure DDoS Protection 기능이 무엇인지 파악해야 합니다. 다음 표에서는 DDoS 인프라 보호 계층과 DDoS Protection의 주요 기능을 비교합니다.
| 기능 | DDoS 인프라 보호 | DDoS Network Protection | DDoS IP Protection |
|---|---|---|---|
| 활성 트래픽 모니터링 및 무중단 감지 | 예 | 네 | 예 |
| 자동 공격 완화 | 예 | 네 | 예 |
| 사용 가능성 보장 | 예 | 네 | 예 |
| 비용 보호 | 예 | 네 | 아니요 |
| 고객 애플리케이션에 맞게 튜닝된 완화 정책 | 예 | 네 | 예 |
| 메트릭 및 경고 | 예 | 네 | 예 |
| 완화 보고서 | 예 | 네 | 예 |
| 완화 흐름 로그 | 예 | 네 | 예 |
| DDoS 빠른 응답 지원 | 예 | 네 | 예 |
추가 DDoS Protection 기능
DDoS Protection을 사용하면 트래픽이 항상 Azure 지역 내에 유지됩니다. 트래픽을 로컬 지역 내에 유지하는 것은 성능에도 도움이 되는데, DDoS Protection이 Azure 지역에서 공격 완화를 수행하기 때문입니다. Azure DDoS Protection은 애플리케이션에 가장 가까운 공격 트래픽을 완화합니다. 하지만 Microsoft가 공격 규모를 크다고 판단한 경우 글로벌 규모의 Azure 네트워크를 활용하여 공격의 시발점을 방어합니다.
Microsoft는 이 심층 방어 전략을 사용하여 백엔드 서비스와 Azure Front Door 및 Azure Application Gateway와 같은 Azure 서비스를 보호합니다.
DDoS Protection은 DDoS 인프라 보호보다 더 많은 기능을 제공합니다. 특정 애플리케이션이 중요하다고 판단되는 경우(예: 대규모의 수익 창출이 가능한 전자 상거래 웹 사이트), DDoS Protection이 적합한 선택입니다.
DDoS IP 보호 SKU는 IP 당 요금 서비스이므로 소규모 조직에 적합합니다. Contoso가 서비스를 확장하면 가상 네트워크 보호, DDoS 신속 응답 지원, 비용 보장을 위해 DDoS 네트워크 보호 SKU로 전환할 수 있습니다.