애플리케이션 복원력을 위한 Azure DDoS Protection 표준 구현

애플리케이션 복원력을 위한 Azure DDoS Protection 표준 구현

2024년 9월 14일

이 기술 및 교육 문서의 목적은 보안 분석가, IT 관리자 및 시스템 엔지니어가 Azure에서 호스트되는 애플리케이션의 복원력을 보장하기 위해 Azure DDoS Protection 표준을 구현하고 구성하는 과정을 안내하는 것입니다. DDoS(분산 서비스 거부) 공격은 온라인 서비스 가용성에 대한 가장 큰 위협 중 하나입니다. Azure DDoS Protection 표준은 고급 DDoS 공격 완화 기능을 제공하여 볼륨, 프로토콜 및 애플리케이션 계층 공격으로부터 Azure 리소스를 보호하고 비즈니스 연속성과 사용자 경험을 보장합니다[1].

소개

현재 디지털 환경에서 애플리케이션과 서비스의 가용성은 보안과 무결성만큼 중요합니다. DDoS 공격은 서비스 리소스에 과부하를 주어 합법적인 사용자가 서비스를 사용할 수 없게 만드는 것을 목표로 합니다. 이러한 공격은 심각한 금전적 손실, 평판 손상, 중요한 운영 중단을 초래할 수 있습니다. Azure DDoS Protection 표준은 악성 트래픽이 리소스에 도달하기 전에 글로벌 완화 네트워크와 기계 학습 기반 검색 알고리즘을 사용하여 악성 트래픽을 식별하고 편향함으로써 이러한 공격에 대한 포괄적인 보호를 제공하는 Azure 기반 솔루션입니다[2].

이 실무 가이드에서는 DDoS 보호 계획 생성, 가상 네트워크 및 공용 IP 주소에 대한 보호 활성화, Azure WAF(웹 애플리케이션 방화벽) 및 Azure Firewall과 같은 다른 Azure 서비스와의 통합, 공격 시뮬레이션을 통한 보호 유효성 검사에 대해 다룹니다. 독자가 DDoS 공격에 대한 강력한 방어를 구현하고 테스트하여 클라우드 애플리케이션과 인프라의 복원력을 강화할 수 있도록 Azure CLI 명령의 단계별 지침과 예가 제공됩니다.

Azure DDoS Protection 표준이 중요한 이유는 무엇인가요?

  • 포괄적 완화: 볼륨 공격(예: UDP 플러드, SYN), 프로토콜 공격(예: SYN-ACK 플러드, IP 조각화) 및 애플리케이션 계층 공격(예: HTTP 플러드) [3]으로부터 보호합니다.
  • 자동 감지 및 적응: 기계 학습 알고리즘을 사용하여 실시간으로 공격을 감지하고 수동 개입 없이 완화 정책을 조정합니다.
  • 글로벌 규모: Azure 네트워크의 글로벌 규모를 활용하여 대량의 공격 트래픽을 흡수하고 편향합니다.
  • 세부 원격 분석: 분석 및 조사를 위해 Azure Monitor에서 풍부한 원격 분석, 완화 로그 및 공격 메트릭을 제공합니다.
  • 기본 통합: 심층적인 방어를 위해 Azure Firewall 및 Azure WAF와 같은 다른 Azure 보안 서비스와 원활하게 통합됩니다.
  • 비용 보장: DDoS 공격 중에 확장된 리소스에 대한 비용 보호를 제공하며 공격을 흡수하기 위해 확장되는 리소스에 대한 크레딧을 보장합니다.

전제조건

Azure DDoS Protection 표준을 구현하려면 다음 항목이 필요합니다.

  1. 활성 Azure 구독: 리소스를 생성하고 관리하기 위한 Azure 구독입니다.
  2. 관리 액세스: Azure 구독 또는 VNet 및 공용 IP가 있는 리소스 그룹에서 '소유자' 또는 '기여자' 역할을 가진 계정입니다.
  3. 가상 네트워크(VNet): 보호하려는 리소스(예: VM, 부하 분산 장치, 애플리케이션 게이트웨이)를 호스팅하는 VNet입니다.
  4. 공용 IP 주소: DDoS 공격의 잠재적인 대상이 될 공용 IP 주소가 있는 리소스(예: 공용 IP가 있는 VM, 공용 로드 밸런서, 애플리케이션 게이트웨이)입니다.
  5. Azure CLI 또는 Azure PowerShell: Azure와 상호 작용하기 위한 명령줄 도구를 설치하고 구성했습니다.

단계별: Azure DDoS Protection 표준 구현

리소스를 보호하도록 Azure DDoS Protection 표준을 구성해 보겠습니다.

1. DDoS 보호 계획 수립

첫 번째 단계는 DDoS 보호 계획을 수립하는 것입니다. 이 계획은 다양한 지역 및 구독에 걸쳐 여러 VNet에 연결할 수 있는 글로벌 리소스입니다.

  1. 브라우저를 열고 Azure Portal https://portal.azure.com으로 이동합니다.
  2. 필요한 권한이 있는 계정으로 로그인하세요.
  3. 상단 검색창에 'DDoS 보호 계획'을 입력하고 결과에서 선택하세요.
  4. '+ 생성'을 클릭하세요.
  5. 계획 세부정보를 입력하세요.
    • 서명: 다음과 같은 경우Azure 구독을 선택합니다.
    • 리소스 그룹: 새 리소스 그룹(예: 'RG-DDoS-Protection')을 생성하거나 기존 리소스 그룹을 선택합니다.
    • 이름: 계획에 이름을 지정합니다(예: DDoS-Plan-Artigos).
    • 지역: 계획을 관리하려는 지역을 선택합니다(글로벌 보호에는 영향을 주지 않음).
  6. '검토 + 생성'을 클릭한 다음 '만들기'를 클릭하세요.

2. 가상 네트워크에 대한 DDoS 보호 활성화

DDoS 보호 계획을 만든 후에는 보호하려는 리소스가 포함된 가상 네트워크에 이를 연결해야 합니다.

  1. Azure Portal에서 보호하려는 VNet(예: Azure Firewall 문서에서 생성된 'VNet-Hub')으로 이동합니다.
  2. VNet의 왼쪽 탐색 창에서 DDoS Protection을 선택합니다.
  3. 'DDoS Protection Plan'에서 생성한 계획을 선택합니다(예: 'DDoS-Plan-Artigos').

  4. '저장'을 클릭하세요.

    • VNet에서 DDoS Protection을 활성화하는 Azure CLI 명령: ``배쉬 # DDoS 계획 ID를 가져옵니다. DDP_PLAN_ID=$(az network ddos-protection plan show --name DDoS-Plan-Artigos --resource-group RG-DDoS-Protection --query id -o tsv)

      DDoS 계획을 사용하도록 VNet을 업데이트합니다.

      az network vnet update --name VNet-Hub --resource-group RG-Firewall-Artigos --ddos-protection-plan $DDP_PLAN_ID --ddos-protection-plan-enable true ````

3. 공인 IP 주소 확보

DDoS 보호 표준에 대해 VNet을 사용하도록 설정하면 해당 VNet 내에서 공용 IP 주소가 있는 모든 리소스(예: 공용 IP VM, 공용 부하 분산 장치, 애플리케이션 게이트웨이)가 자동으로 보호됩니다. 각 공용 IP에 대해 개별적으로 보호를 구성할 필요가 없습니다.

  • 확인: 공용 IP가 보호되는지 확인하려면 Azure Portal에서 공용 IP 리소스로 이동할 수 있습니다. '개요' 섹션에는 관련 'DDoS 보호 계획'이 표시됩니다.

4. Azure WAF(웹 애플리케이션 방화벽) 및 Azure Firewall과의 통합

심층적인 방어를 위해 Azure DDoS Protection 표준을 다른 네트워크 보안 솔루션과 결합하는 것이 좋습니다.

  • Azure WAF(웹 애플리케이션 방화벽): WAF는 DDoS Protection에서 다루지 않는 일반적인 웹 공격(예: SQL 주입, 사이트 간 스크립팅)으로부터 웹 애플리케이션을 보호합니다. 웹 애플리케이션 앞에 WAF를 배포합니다(예: Azure Application Gateway 또는 Azure Front Door 사용). DDoS 보호 표준은 WAF의 네트워크 계층을 보호하고, WAF는 애플리케이션 계층을 보호합니다[4].

  • Azure Firewall: Azure Firewall은 네트워크 및 애플리케이션 트래픽 필터링, 위협 인텔리전스 및 IDPS를 제공합니다. DDoS 보호 표준과 함께 사용하면 방화벽은 DDoS 완화 후 합법적인 트래픽을 검사하여 또 다른 보안 계층을 추가할 수 있습니다.

검증 및 테스트

Azure DDoS Protection 표준의 효율성을 검증하는 것이 중요합니다. 그러나 Microsoft의 명시적인 허가 없이는 자신의 리소스에 대해 실제 DDoS 공격을 수행하지 마십시오. Microsoft는 고객을 위해 DDoS 시뮬레이션 테스트 프로그램을 제공합니다.

1. DDoS 보호 원격 측정 확인

공격(또는 시뮬레이션) 중에 Azure DDoS Protection 표준은 Azure Monitor에서 자세한 메트릭을 제공합니다.

  1. Azure Portal에서 DDoS 보호 계획(예: DDoS-Plan-Artigos)으로 이동합니다.
  2. 왼쪽 탐색 창에서 메트릭을 선택합니다.
  3. 다음과 같은 측정항목을 볼 수 있습니다.
    • DDoS 공격 트래픽(인바운드): 인바운드 공격 트래픽.
    • DDoS 공격 패킷(인바운드): 인바운드 공격 패킷.
    • DDoS 공격 바이트(인바운드): 인바운드 공격 바이트.
    • DDoS 공격 드롭 패킷(인바운드): 공격 패킷이 드롭되었습니다.

2. DDoS 공격에 대한 경고 구성

DDoS 공격이 진행 중일 때 알림을 받을 수 있도록 경고를 설정하는 것이 중요합니다.

  1. Azure Portal에서 DDoS 보호 계획으로 이동합니다.
  2. 왼쪽 탐색 창에서 경고를 선택합니다.
  3. '+ 경고 규칙 만들기'를 클릭하세요.
  4. 'DDoS 공격을 받고 있는지 여부'(값 1은 공격을 나타냄, 0은 정상을 나타냄) 또는 'DDoS 공격 트래픽(인바운드)'과 같은 지표를 사용하여 경고 조건을 구성합니다.
  5. 경고 작업을 구성합니다(예: 이메일, SMS, 웹훅 보내기, Azure 함수 또는 논리 앱 트리거).

3. DDoS 공격 시뮬레이션 수행(승인된 파트너와 함께)

Microsoft는 파트너와 협력합니다고객이 Azure DDoS Protection 표준으로 보호되는 리소스에 대해 제어되고 안전한 방식으로 공격을 시뮬레이션할 수 있는 DDoS 테스트 기능입니다. Microsoft 및 승인된 파트너의 승인 및 조정 없이 직접 DDoS 공격을 시뮬레이션하려고 시도하지 마십시오.

  1. Microsoft가 승인한 DDoS 테스트 파트너에게 문의하세요: BreakingPoint(Keysight) 또는 Radware와 같은 회사는 DDoS 시뮬레이션 서비스를 제공합니다.
  2. Microsoft와 협력: Azure 자동 완화가 테스트를 실제 공격으로 해석하여 예상치 못한 조치를 취하는 것을 방지하기 위해 계획된 테스트를 Microsoft에 알립니다.
  3. 테스트 중 모니터링: 시뮬레이션 중에 Azure Monitor에서 DDoS Protection 메트릭을 모니터링하여 실제 완화 조치를 관찰하고 애플리케이션의 복원력을 확인합니다.

보안 팁 및 모범 사례

  • 강력한 애플리케이션 디자인: Azure DDoS Protection 표준은 강력하고 탄력적인 애플리케이션 디자인과 결합될 때 가장 효과적입니다. 여기에는 확장 가능한 아키텍처, 로드 밸런싱, 캐싱 및 내결함성이 포함됩니다.
  • 심층 방어: DDoS 보호에만 의존하지 마세요. 이를 Azure Firewall, Azure WAF 및 NSG와 같은 다른 보안 솔루션과 결합하여 심층 방어 전략을 만듭니다.
  • 비용 최적화: 표준 계획은 연결된 VNet의 모든 공용 IP 리소스를 보호합니다. 비용을 최적화하려면 리소스를 보호된 VNet으로 그룹화하는 것이 좋습니다.
  • 활성 모니터링: Azure Monitor에서 DDoS 공격에 대한 경고를 구성하고 원격 분석을 적극적으로 모니터링하여 공격 동작 및 완화 효과를 이해합니다.
  • 정기 테스트: 승인된 파트너와 정기적으로 DDoS 공격 시뮬레이션을 수행하여 보호 효과를 검증하고 격차를 식별합니다.
  • DNS 보호: DDoS 보호가 기본 제공되는 Azure DNS를 사용하여 DNS 서버를 공격으로부터 보호하는 것이 좋습니다.
  • 애플리케이션 계층 보호: 웹 애플리케이션의 경우 Azure WAF를 사용하여 DDoS Protection 표준이 직접 해결하지 않는 계층 7 공격으로부터 보호합니다.
  • 속도 제한: 애플리케이션 게이트웨이 또는 역방향 프록시에 속도 제한을 구현하여 소량의 애플리케이션 계층 공격을 완화합니다.

일반적인 문제 해결

  • DDoS 보호가 활성화되지 않음: DDoS 보호 계획이 생성되었고 VNet이 이에 연결되어 있는지 확인합니다. 보호하려는 리소스에 공용 IP 주소가 있는지 확인하세요.
  • DDoS 공격이 감지되지 않음: 공격 트래픽이 실제로 보호된 공용 IP로 전달되는지 확인합니다. Azure Monitor에서 원격 분석 메트릭이 수집되고 있는지 확인하세요. 소규모 공격을 탐지하는 데 약간의 지연이 있을 수 있습니다.
  • 공격 중에 애플리케이션이 여전히 영향을 받음: 이는 공격이 순전히 DDoS(예: WAF가 필요한 애플리케이션 계층 공격)가 아니거나 애플리케이션 자체의 복원력이 충분하지 않음을 나타낼 수 있습니다. 애플리케이션 설계 및 WAF 통합을 검토합니다.
  • DDoS 경고가 수신되지 않음: Azure Monitor에 구성된 경고 규칙을 확인하세요. 알림 작업이 올바르게 구성되어 있고 수신자가 알림을 받고 있는지 확인하세요.
  • 활성화 후 성능 문제: DDoS Protection Standard는 네트워크 서비스이며 일반적으로 성능 문제를 일으키지 않습니다. 속도가 느린 경우 아키텍처의 다른 구성 요소(예: VM, 로드 밸런서, 방화벽, WAF)를 조사하세요.

결론

Azure DDoS Protection 표준은 점점 커지는 DDoS 공격 위협으로부터 애플리케이션과 서비스를 보호하려는 모든 조직에 중요한 서비스입니다. 자동적이고 확장 가능하며 포괄적인 완화 기능을 제공하여 Azure 리소스의 가용성과 복원력을 보장합니다. 강력한 애플리케이션 설계, 다른 보안 솔루션을 사용한 심층적인 방어, 지속적인 모니터링과 결합된 DDoS 보호 표준의 효과적인 구현을 통해 조직은 비즈니스 연속성을 유지하고 사용자 경험을 보호할 수 있습니다. 이 실용적인 가이드를 통해 보안 전문가는 Azure DDoS Protection 표준을 구성, 검증 및 관리하여 클라우드 애플리케이션의 보안 상태와 복원력을 강화할 수 있습니다.

참고자료:

[1] 마이크로소프트 런. 프로 개요Azure DDoS 보호. 사용 가능: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-overview [2] 마이크로소프트 런. DDoS 공격 유형. 사용 가능: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-attack-types [3] 마이크로소프트 런. Azure DDoS Protection 계층 비교. 사용 가능: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-sku-comparison [4] 마이크로소프트 런. DDoS 보호 참조 아키텍처. 사용 가능: https://learn.microsoft.com/pt-br/azure/ddos-protection/ddos-protection-reference-architectures