아마존 웹 서비스(AWS) 파트너 네트워크
070-4284-4890
Call
1670 8808

DDoS 방어

Distributed Denial of Service

DDoS 방어

웹 사이트 DDoS방어 애플리케이션은 클라우드 기반으로 웹 사이트를 보호 합니다.
강력한 엔터프라이즈 급 웹 방화벽에 의 해 지원되는 DDoS방어 서비스는 속도를 가속화 하며 웹 사이트의 연결상태를 개선합니다.
응용 프로그램의 취약점을 악용하려는 공격으로 부터 웹 사이트를 보호 합니다.

실시간 DDoS 공격탐지

24시간, 365일 DDoS 공격을  자동으로 공격 탐지하여 실시간 방어를합니다.

DDoS 공격 방어

네트워크 계층 (Layer 3, 4) 및 응용 프로그램 (Layer 7) 의 DDoS 공격을 방어합니다.

CDN, WAF를 이용

웹 사이트의 성능 및 보안 향상을 위해 CDN 및 WAF를 포함합니다.

매우 낮은 오탐률

0.01% 이하의 매우 낮은 오탐률을 제공합니다.

DDoS 방어의 장점

큰 대역폭의 네트워크
네트워크상의 DDoS 공격 크기가 계속해서 증가 할 수 록 더 강력하고 큰 대역폭의 네트워크가 필요합니다. Amazon Web Services 네트워크는 모든 규모의 공격을 쉽게 차단 할 수 있도록 제공됩니다.
실시간 공격 탐지
IP 주소 마스킹
무정지 서비스
실시간 대응 서비스

DDoS 방어의 특징

네트워크를 통해 웹 트래픽(HTTP/HTTPS)을 지속적으로 라우팅 하기 위해서 DNS 리다이렉션을 사용하며 트래픽이 네트워크에 진입 후에는 계층별로 엄격한 검사를 거치게 됩니다. 정교한 보안 규칙에 의해서 DDoS 공격 트래픽을 식별하고 도시에 보호된 웹 사이트에 방해를 받지 않도록 정상 트래픽만 전송합니다.
또한, CDN 기반으로 동작하기 때문에 트래픽이 DDoS 방어 솔루션을 통과하면서 통신에 지연이 거의 일어나지 않으며 향상된 속도를 제공합니다.


03_index_v2
03_index_v2
03_index_v2

DDoS 사례

공격 지점을 줄여서 DDoS 공격 대비하기

DDoS(Distributed denial of service) 공격은 악의의 공격자가 감당할 수 없는 규모의 트래픽이나 커넥션 요청을 네트웍, 시스템, 어플리케이션에 전송함으로서 야기됩니다. 예상하신 대로 AWS 고객도 어떻게 하면 이런 종류의 공격으로 부터, 어플리케이션을 보호할 수 있는지 많이 질문합니다. AWS에서는 여러분이 DDoS 상황에서도 복원력이 높은  아키텍쳐를 만드는 방법과 어떻게 AWS 확장성을 잘 활용할 수 있는지에 관한 베스트 프랙티스를 제공하고 있습니다.

먼저 최근에 공개한 AWS Best Practices for DDoS Resiliency(영문 백서)를 보시면 어플리케이션 가용성을 보호하고, DDoS 공격에 좀 더 잘 대비하기 위한 참고 아키텍쳐를 잘 알 수 있습니다. 이 글에서는 그 중에서도 공격을 방어하기 입장에서 공격받을 지점을 줄이는 사례를 좀 더 자세히 공유해 드리겠습니다.

간단히 설명하자면, 어플리케이션에 도달할 수 있는 가능한 트래픽의 유형을 줄이는 것을 뜻합니다. 간단한 예로 웹어플리케이션을 만들때, 인터넷으로 80과 443 포트만을 오픈하는 것입니다. 이를 통해서 DDoS 공격에 흔히 사용되는 다양한 공격 기법들을 막을 수 있습니다.

이 글에서는 Amazon Virtual Private Cloud (VPC) 를 활용하여 여러분들의 어플리케이션에 대한 접근을 어떻게 통제할 수 있는지, 네트웍 접근제어목록(network access control lists (ACLs))과 보안그룹(security groups)을 통해 공개된 통로를 어떻게 최소화 할 수 있는지 등에 관한 내용을 다룹니다. 이 내용들은 여러분들이 DDoS 복원 아키텍쳐(DDoS-resilient architecture)를 구축 할 때 고려하셔야 하는 몇 가지 베스트 프랙티스 중에 일부입니다.

통상적인 DDoS 공격

AWS VPC에 관한 내용을 시작하기 앞서, DDoS 공격 기법에 어떤 것들이 있는지 이해하고 전송되는 위해 트래픽을 막도록 어떻게 공격 지점을 최소화 할 수 있는지를 이해하는 것이 중요합니다. 가장 흔한 DDoS 공격기법은 반사공격(reflection attack)으로서, 네트웍이 감당할 수 없는 트래픽의 양을 생성하여 정상적인 트래픽을 처리하지 못하도록 하는 것입니다. 반사공격(reflection attack)을 시작하려면, SSDP(Simple Service Discovery Protocol)나 DNS(Domain Name System), NTP(Network Time Protocol), SNMP(Simple Network Management Protocol)과 같은 UDP(User Datagram Protocol)서비스를 제공하는 인터넷 서버들을 스캐닝하게 됩니다.

그리고 대부분 이와 같은 서버들은 구성에 따라, 원 요청보다 큰 결과를 반환하게 됩니다. 이러한 부분을 이용하는 것을 증폭 공격(Amplification Attack)이라고 하며, 이 두 가지 기법을 이용하여 공격자가 소스 IP를 공격 대상 IP로 임의로 변경하여 많은 요청들을 해당 서버들에게 보내게 되면, 10배 혹은 수백배 큰 응답들이 공격 대상에게 전달되어 정상적인 서비스를 방해하도록 하는 것입니다.

보안 그룹 구성

반사공격(Reflection attack) 기법을 통해 공격자들은 전세계 어느 곳으로도 통상적인 UDP서비스를 이용하여 대규모 트래픽을 보낼 수 있게 됩니다. 다행히 이러한 공격들은 쉽게 탐지될 수 있고, AWS의 VPC에 있는 보안그룹(Security Group) 구성을 통해 감소시킬 수 있습니다. 이 기능은 여러분들의 인스턴스에 대한 인바운드, 아웃바운드 통신에서 허용할 포트나 프로토콜을 지정해서 통제할 수 있도록 해줍니다. 지정되지 않는 다른 포트나 프로토콜은 자동으로 접근이 불허됩니다.

아래 그림에선 앞에서 언급했던 웹 어플리케이션에 적용할 수 있는 Amazon VPC레퍼런스 아키텍쳐를 보실 수 있습니다. 좀 더 자세한 내용은 여기를 참조하시기 바랍니다. Security Groups for Your VPC.

위의 아키텍쳐에서는 한 개의 퍼블릭 서브넷과 두 개의 프라이빗 서브넷으로 구성된 VPC를 사용합니다. 위 구성을 위해 몇 가지 보안 그룹(Security Group)을 정의해야 하는데, 우선 일반 사용자와 관리자가 인터넷을 통해 접근할 수 있도록 허용하는 것과 내부 리소스들을 DMZ로 부터만 접근이 가능하도록 제한하는 방법이 있습니다. VPC를 만들고 접근을 제한하는 것과 관련된 자세한 내용은 링크를 참조하시기 바랍니다. Your VPC and Subnets.

LET'S TALK BUSINESS

고객이 비즈니스에만 집중할 수 있도록 지원합니다.