CloudHSM: Secure, Scalable Key Storage in AWS - AWS Online Tech TalksAmazon Web Services
Learning Objectives:
- Educate customers in the types of problems CloudHSM solves for them
- Build customer trust in the ability of CloudHSM to secure their workloads and data
- Energize customers to try out the service and use it to transfer and/or modernize workloads in AWS
2018년 12월 12일에 촬영한 한국어 웨비나입니다. Cloudflare는 적용이 빠르고 DDoS 방어에 효과적이라는 이점이 있어 소위 Under Attack이라고 불리는, DDoS 공격을 실시간으로 받고 있어 빠르게 방어책을 적용해야 하는 고객사를 많이 받는 편입니다. 이 페이지를 통해 많이 sign up 하십니다. 반면에 이미 Cloudflare를 사용하고 있어도, 오리진 서버를 전체공개 하셨다든지 필요한 설정이 정확하게 되어 있지 않으면 공격자에게 취약한 부분을 감지당해 Cloudflare를 적용하고도 공격을 받으시는 경우가 발생하기도 합니다. 이 웨비나는 어떤 Plan이든 Cloudflare를 사용하시는 고객께서 정확한 설정으로 DDoS 방어 효과를 잘 누리셨으면 해서 촬영했습니다.
This webinar based on this presenation discusses the use of the AWS Cloud as a disaster recovery (DR) environment. It will explore how the architectural approaches to DR in the AWS Cloud makes DR and BCP a great scenario for familiarising yourself with AWS before moving on to production application deployments in the cloud.
Watch a recording of the webinar based on this presentation on YouTube here: https://youtu.be/YFuOTcOI8Bw
Distributed denial of service (DDoS) can have an impact on the availability, security and resources consumption for your web application. AWS Web Application Firewall and AWS Shield allow to protect web applications from these attacks.
CloudHSM: Secure, Scalable Key Storage in AWS - AWS Online Tech TalksAmazon Web Services
Learning Objectives:
- Educate customers in the types of problems CloudHSM solves for them
- Build customer trust in the ability of CloudHSM to secure their workloads and data
- Energize customers to try out the service and use it to transfer and/or modernize workloads in AWS
2018년 12월 12일에 촬영한 한국어 웨비나입니다. Cloudflare는 적용이 빠르고 DDoS 방어에 효과적이라는 이점이 있어 소위 Under Attack이라고 불리는, DDoS 공격을 실시간으로 받고 있어 빠르게 방어책을 적용해야 하는 고객사를 많이 받는 편입니다. 이 페이지를 통해 많이 sign up 하십니다. 반면에 이미 Cloudflare를 사용하고 있어도, 오리진 서버를 전체공개 하셨다든지 필요한 설정이 정확하게 되어 있지 않으면 공격자에게 취약한 부분을 감지당해 Cloudflare를 적용하고도 공격을 받으시는 경우가 발생하기도 합니다. 이 웨비나는 어떤 Plan이든 Cloudflare를 사용하시는 고객께서 정확한 설정으로 DDoS 방어 효과를 잘 누리셨으면 해서 촬영했습니다.
This webinar based on this presenation discusses the use of the AWS Cloud as a disaster recovery (DR) environment. It will explore how the architectural approaches to DR in the AWS Cloud makes DR and BCP a great scenario for familiarising yourself with AWS before moving on to production application deployments in the cloud.
Watch a recording of the webinar based on this presentation on YouTube here: https://youtu.be/YFuOTcOI8Bw
Distributed denial of service (DDoS) can have an impact on the availability, security and resources consumption for your web application. AWS Web Application Firewall and AWS Shield allow to protect web applications from these attacks.
Cloudflare speeds up and protects millions of websites, APIs, SaaS services, and other properties connected to the Internet. Our Anycast technology enables our benefits to scale with every server we add to our growing footprint of data centers.
by Jeff Lyon, Manager of DDoS Ops Engineering, AWS
Mitigation of Distributed Denial of Service (DDoS) attacks to protect the availability of an application historically required expensive hardware, scaling of fixed capacity, or the enlistment of third-party DDoS mitigation services. Today, AWS provides you with tools to build applications that are automatically protected against DDoS attacks without having to invest in costly infrastructure, route traffic externally, or accept performance tradeoffs. In this session, you will learn simple techniques for building DDoS-resilient applications, monitoring and alarming on the presence of DDoS attacks, and responding to events in-progress.
This PDF describe how F5 ASM can detect and mitigate Application DDoS as well as Fine Tuning the DDoS profile thresholds. this file is public.
f5 ddos best practices
f5 ddos protection recommended practices
f5 ddos protection recommended practices
Deep Dive on Amazon S3 Security and Management (E2471STG303-R1) - AWS re:Inve...Amazon Web Services
In this session, learn best practices for data security in Amazon S3. We discuss the fundamentals of Amazon S3 security architecture and dive deep into the latest enhancements in usability and functionality. We investigate options for encryption, access control, security monitoring, auditing, and remediation.
A Well Architected SaaS - A Holistic Look at Cloud Architecture - Pop-up Loft...Amazon Web Services
The cloud enables Well-Architected environments from bootstrap startups to well-funded enterprises, all while remaining cost effective. Learn how to properly design your product’s cloud architecture by following best practices and enhancing your “cloud” knowledge. In this session we will walk through the A Well-Architected AWS Framework which is based on four pillars—security, reliability, performance efficiency, and cost optimization. By Oron Adam, Emind CTO
by Michael St. Onge, Global Cloud Security Architect, AWS
Join us for this hands-on lab where you will learn about the new service Amazon GuardDuty by walking through its capabilities and some real-world attack scenarios. You will need an AWS account to do the lab. This should be your own personal account and not an account through your company given the activity in the lab. AWS Credits will be provided to help cover any costs incurred in the lab. Level 300
5 Highest-Impact CASB Use Cases - Office 365Netskope
Cloud app security is a top priority for many enterprises. Whether securing data in the Office 365 suite, ensuring compliance in Salesforce, or getting control over shadow IT, information security leaders are exploring how Cloud Access Security Brokers can make an impact in their organizations.
This presentation covers the top Office 365-specific five CASB use cases that have the highest impact on cloud-consuming enterprises.
Managing Multi-Tenant SaaS Applications at ScaleMongoDB
Speaker: Justin LaBreck, Senior Consulting Engineer, Professional Services, MongoDB
Level: 200 (Intermediate)
Track: Application Architecture
Multi-tenant applications face unique challenges at scale. A mix of hardware, software, and developer costs make implementing software-as-a-service (SaaS) and basic application architecture expensive and complex making growth problematic.
In this talk, we will explore the strategies, trade-offs, and “gotchas” common in multi-tenant environments. We draw from daily work with MongoDB customers and application development in the SaaS events industry migrating from one multi-tenant strategy to another. We'll discuss several approaches on the shared-to-isolation spectrum with cost and benefit considerations for each. We’ll even offer tips so today’s application and MongoDB design choices don’t affect tomorrow’s bottom line.
What You Will Learn:
- What strategies exist for storing data from multiple clients?
- How can these strategies be compared for cost effectiveness?
- How can these strategies be compared for cost effectiveness?
How can MongoDB features be leveraged for future scale?
This post shows the complex NIST Cybersecurity Framework as a Mindmap.It captures the critical components of the NIST Cybersecurity framework which is becoming a defacto standard.
Cloudflare speeds up and protects millions of websites, APIs, SaaS services, and other properties connected to the Internet. Our Anycast technology enables our benefits to scale with every server we add to our growing footprint of data centers.
by Jeff Lyon, Manager of DDoS Ops Engineering, AWS
Mitigation of Distributed Denial of Service (DDoS) attacks to protect the availability of an application historically required expensive hardware, scaling of fixed capacity, or the enlistment of third-party DDoS mitigation services. Today, AWS provides you with tools to build applications that are automatically protected against DDoS attacks without having to invest in costly infrastructure, route traffic externally, or accept performance tradeoffs. In this session, you will learn simple techniques for building DDoS-resilient applications, monitoring and alarming on the presence of DDoS attacks, and responding to events in-progress.
This PDF describe how F5 ASM can detect and mitigate Application DDoS as well as Fine Tuning the DDoS profile thresholds. this file is public.
f5 ddos best practices
f5 ddos protection recommended practices
f5 ddos protection recommended practices
Deep Dive on Amazon S3 Security and Management (E2471STG303-R1) - AWS re:Inve...Amazon Web Services
In this session, learn best practices for data security in Amazon S3. We discuss the fundamentals of Amazon S3 security architecture and dive deep into the latest enhancements in usability and functionality. We investigate options for encryption, access control, security monitoring, auditing, and remediation.
A Well Architected SaaS - A Holistic Look at Cloud Architecture - Pop-up Loft...Amazon Web Services
The cloud enables Well-Architected environments from bootstrap startups to well-funded enterprises, all while remaining cost effective. Learn how to properly design your product’s cloud architecture by following best practices and enhancing your “cloud” knowledge. In this session we will walk through the A Well-Architected AWS Framework which is based on four pillars—security, reliability, performance efficiency, and cost optimization. By Oron Adam, Emind CTO
by Michael St. Onge, Global Cloud Security Architect, AWS
Join us for this hands-on lab where you will learn about the new service Amazon GuardDuty by walking through its capabilities and some real-world attack scenarios. You will need an AWS account to do the lab. This should be your own personal account and not an account through your company given the activity in the lab. AWS Credits will be provided to help cover any costs incurred in the lab. Level 300
5 Highest-Impact CASB Use Cases - Office 365Netskope
Cloud app security is a top priority for many enterprises. Whether securing data in the Office 365 suite, ensuring compliance in Salesforce, or getting control over shadow IT, information security leaders are exploring how Cloud Access Security Brokers can make an impact in their organizations.
This presentation covers the top Office 365-specific five CASB use cases that have the highest impact on cloud-consuming enterprises.
Managing Multi-Tenant SaaS Applications at ScaleMongoDB
Speaker: Justin LaBreck, Senior Consulting Engineer, Professional Services, MongoDB
Level: 200 (Intermediate)
Track: Application Architecture
Multi-tenant applications face unique challenges at scale. A mix of hardware, software, and developer costs make implementing software-as-a-service (SaaS) and basic application architecture expensive and complex making growth problematic.
In this talk, we will explore the strategies, trade-offs, and “gotchas” common in multi-tenant environments. We draw from daily work with MongoDB customers and application development in the SaaS events industry migrating from one multi-tenant strategy to another. We'll discuss several approaches on the shared-to-isolation spectrum with cost and benefit considerations for each. We’ll even offer tips so today’s application and MongoDB design choices don’t affect tomorrow’s bottom line.
What You Will Learn:
- What strategies exist for storing data from multiple clients?
- How can these strategies be compared for cost effectiveness?
- How can these strategies be compared for cost effectiveness?
How can MongoDB features be leveraged for future scale?
This post shows the complex NIST Cybersecurity Framework as a Mindmap.It captures the critical components of the NIST Cybersecurity framework which is becoming a defacto standard.
No trade-offs: 안전하고, 빠르고, 안정적인 네트워크 구축하기 / Building secure, fast, and reliabl...Jean Ryu
Cloudflare Magic Transit 제품에 관한 웨비나였습니다. Magic Transit은 온프레미스 데이터센터의 보안 강화를 위해 도입하실 수 있는 디도스 스크러빙 제품입니다. 거꾸로 가는 남자(?)도 아니고 2020년이 다 됐는데 이 회사는 클라우드 솔루션부터 시작했으면서 이 시점에 온프레미스용 제품을 신규 출시하십니까...라는 의문이 드셨다면 정상입니다. 웨비나에서 대답해 드립니다.
2020년 3월 10일에 오래간만에 촬영한 한국어 웨비나입니다. Cloudflare는 네트워크 보안을 많이 다루는데, 네트워크 보안 관련 위협이 되는 직간접적인 요소들을 짚어보고, 이런 요소들로 인해 비즈니스에 어떤 구체적인 위협들이 있는지, 공격자가 어떤 식으로 공격을 실행하는지, 그 후 보안 솔루션으로서 Cloudflare가 소개된 공격들을 막을 수 있도록 어떤 방법들을 구비하고 있는지를 설명했습니다.
하시코프와 함께하는 알리바바 클라우드 DevSecOps 뽀개기 E01 SecOpsAlibaba Cloud Korea
해당 PPT에 대한 웨비나를 시청해보세요: https://youtu.be/Coty0etlGHU
지난 10월 6일 하시코프와 알리바바 클라우드의 조인트 웨비나 E01에서는 하시코프와 알리바바 클라우드의 인프라 보안에 대한 논의가 진행되었습니다.
하시코프에서는 Packer Image, Terraform Provisioning, Vault SSH를 알리바바 클라우드에서는 Alibaba Cloud의 인프라 보안, WAF, Anti-DDoS, Cloud Firewall, Security Center - Infra 를 다룹니다.
AWS의 CDN 서비스인 CloudFront의 가속 및 DDoS 방어 소개
# CloudFront 장점
- 수퍼 PoP: AWS 클라우드 구축/운영 Know-How 가 담긴 고성능/대용량 아키텍쳐
* 국내 최대 Capacity / 가장 빠르게 성장하는 글로벌 CDN 서비스
- Single-Service: (캐싱, 다이나믹 가속, HTTPS, AWS Shield Standard 등) 동일 가격 체계로 제공
- AWS Backbone 전용망: Edge <=> Origin 가속
- 인라인 DDoS 방어: Shield Standard & Advance
- AWS 서비스 연동성
고객의 플랫폼/서비스를 개선한 국내 사례 살펴보기 – 장준성 AWS 솔루션즈 아키텍트, 강산아 NDREAM 팀장, 송영호 야놀자 매니저, ...Amazon Web Services Korea
AWS는 175개 이상의 다양한 서비스를 제공해드리고 있습니다. 주요 서비스들 외에도 고객 서비스의 품질을 개선하는 데에 이러한 다양한 AWS의 서비스들의 도움을 받을 수 있습니다. 이번 세션에서는 AWS Transit Gateway, AWS Global Accelerator, AWS Shield, AWS IoT, Amazon WorkSpaces 를 통해서 고객의 플랫폼/서비스를 개선한 국내 사례들을 살펴보며 AWS 서비스들을 어떻게 활용할 수 있는지 보여드립니다.
4. - 4 -
Security Trend - 급증하는 공격
피크 공격 규모 2011~2014 한달 공격 횟수 애플리케이션 계층 공격을
경험한 적이 있는 조직의 비율(%)
공격 빈도 및 규모는 물론 미션 크리티컬 영역까지 공격 범위 확대
출처: Worldwide Infrastructure Security Report 2015, Arbor Networks
5. - 5 -
Security Trend - 정교한 공격
멀티 벡터 공격(Multi-vector attacks) 보편화,
웹 애플리케이션이 가장 큰 공격 대상으로 부상
출처: Global Application & Network Security Report 2014-2015, Radware
6. - 6 -
Security Trend - 공격하기 쉬운 환경
공격 하기 쉬운 환경, 그러나 방어는 어려움
DDoS 공격 대행 비용
- 1시간 진행 시 : $5 / 24시간 진행 시 : $40
- 1주일 집중 진행 시 : $260 / 1달 집중 진행 시 : $900
7. - 7 -
Security Trend - 비즈니스에 미치는 영향
보안 관련 TCO 중 약 30%가 DoS 및 웹 기반 공격 방어로 발생,
공격으로 인해 서비스 중단, 정보 유실 및 수익 감소
9가지 공격에 대한 조직 규모별 비용 배분 비용 백분율
2014 Global Report on the Cost of Cyber Crime, 출처: Ponemon
Institute
9. - 9 -
Solution - 구축형 솔루션 취약점
구축형 솔루션 한계로 웹 사이트 운영 관리 어려움
부문별로 매우 전문적인 기술력 갖춘 다수 IT 인력 필요
평균 대비 10배 이상 트래픽 처리 위한 고비용 인프라 준비 필요
H/W 및 S/W 초기 구입 비용 TCO 일부분, 관련 비용 지속 발생
필요
10. - 10 -
Solution - 비용 비교
3년 간 Cloud Security로 절감 가능한 금액, 약 $135,900
CDNetworks
Cloud Security
WAF
사용 비용
카테고리 사용 – 1년차 사용 - 2년차 사용 - 3년차
초기 설치비 5,000 0 0
Cloud Security 비용 72,000 72,000 72,000
총 비용 77,000 72,000 72,000
S사의
WAF 어플라이언스
사용 비용
카테고리 사용 – 1년차 사용 - 2년차 사용 - 3년차
어플라이언스 구입 62,000 0 0
S/W 유지 보수 12,400 12,400 12,400
어플라이언스 관리 임금 35,500 35,500 35,500
CDN 사용 비용 50,400 50,400 50,400
총 비용 160,300 98,300 98,300
<전제조건>
• 월 평균 트래픽 규모: 300Mbps
• WAF 어플라이언스 단가: 31,000 USD, S/W 유지 보수 비용: 6,200 USD/year
• 안정성 확보를 위한 이중화 구성
• 서비스 운영 필요한 인건비: 7,100 USD, 24×7 서비스 운영 관리 위해 5운영자 고려
• 장비 이중화 및 서비스 성능 보장 고려
• CDN 서비스 단가 : 14USD/Mbps
• Cloud security WAF 단가: 20USD/Mbps
11. - 11 -
Solution - 시그니처 기반 WAF 취약점
새로운 위협에 대한 대응 및 운영 한계, 행위 기반 WAF 도입 필요
WAF RULE
운영자: 취약성 재발견 될 수 있음
시그니처 기반 WAF 사용 Zero day 공격 차단 어려움
운영자: 어떤 공격인지 확인 필요
WAF 규칙 운영 어려움대안은?
운영자: 웹 보안 강화하고
운영 편의성 높여야함
12. - 12 -
Solution - 멀티 벤더 취약점
멀티벤더 경우, 책임이 분산되어 문제 발생 시 책임 회피의 가능성기술 지원
멀티벤더 경우, 각 프리미엄 서비스마다의 추가 비용 발생비용
제품이 모든 업체에 최적화될 수 없기 때문에 서비스 품질 악화서비스 품질
13. - 13 -
Solution
CDNETWORKS CLOUD SECURITY
기존 구축형 솔루션 한계 극복 및 보다 개선된 보안 시스템 구현
Cloud Security 서비스를 통해 귀사의 웹사이트를
보다 빠르고 안전하게 글로벌 시장 및 고객에게 제공하시기 바랍니다.
15. - 15 -
Cloud Security – 서비스 범위
보다 빠르고 안전한 웹사이트 운영 환경 제공하기 위한
분산된 Cloud 인프라 기반 보안 서비스 (Security as a Service)
Cloud-based
DDoS 방어
Cloud-based
WAF
90+ 도시, 160+ PoP 기반으로
최종 사용자에게 최고의 웹사이트 성능 제공
Content Delivery Network
(Web Application Firewall)
16. - 16 -
Cloud Security – DDoS 방어
쉴드 서버
PoP A
엣지 서버
PoP B
엣지 서버
Security PoP
오리진 서버
...
GSLB(Global Server Load Balancer)
CDN 아키텍처 DDoS 방어 아키텍처
• 대역폭을 점유한 볼륨 기반 공격 방어
(UDP Floods, ICMP Floods 등)
• 서버와 장비 리소스를 소모하는 프로토콜
공격(SYN/FIN/ACK Flooding) 방어
스위치
라우터
DDoS 방어
어플라이언스
• 대용량 엣지 서버의 HTTP Flooding 차단
에이전트가 HTTP Flooding 공격을 방어
• 일반 CDN PoP에서 연중 24시간 공격
모니터링, 공격 발생 즉시 안전한 PoP로
모든
트래픽 전환
공격 발생하는 즉시 Security PoP으로 모든 트래픽 이전
사용자 좀비
아키텍처
사용자 좀비
B B B B
B* : Block Agent
17. - 17 -
Cloud Security – DDoS 방어
전 세계 분산된 6개 Security PoP 기반
웹 사이트 및 애플리케이션 연속성 보장
전 세계 6개 Security PoP에 분산된 총 260Gbps 인프라
160개 이상의 CDN 엣지 PoP을 통한 안정적인 웹사이트, 애플리케이션 성능 구현
미국
산호세 PoP
뉴욕 PoP
100Gbps
CDN
APAC
도쿄 PoP
서울 PoP
60Gbps
CDN
EMEA
런던 PoP
프랑크푸르트 PoP
100Gbps
CDN
2015년 7월 기준
서비스 인프라
18. - 18 -
Cloud Security – DDoS 방어
스위치
라우터
엣지 서버
스위치
라우터
쉴드 서버
DNS
오리진서버
...
스위치
라우터
DDoS 방어
어플라이언스
인터넷
인터넷
인터넷
LDNS
IP 3.3.3.1 ~ x
IP 2.2.2.1 ~ x
IP 4.4.4.1 ~ x
엣지 서버
GSLB
Foo.com
IP 1.1.1.1
사용자 좀비
1 2 4
1 2
1 2
1
3
B B B B
www.foo.com
Image.foo.com
service.foo.com/asp
www.foo.com.cdngc.net
image.foo.com.cdngc.net
service.foo.com.cdngc.net
간단한 CDN 도메인 TTL 설정
1
2
www.foo.com.cdnga.net
image.foo.com.cdnga.net
service.foo.com.cdnga.net
(애플리케이션 서비스 도메인은 CDN PoP 유지)
3
4
엣지 서버에 공격 감지 모듈 설치
CDNetworks NOC
서비스 흐름도 1 - 설정 및 모니터링
19. - 19 -
Cloud Security – DDoS 방어
스위치
라우터
엣지 서버
스위치
라우터
쉴드 서버
DNS
오리진서버
...
스위치
라우터
DDoS 방어
어플라이언스
인터넷
인터넷
인터넷
LDNS
IP 3.3.3.1 ~ x
IP 2.2.2.1 ~ x
IP 4.4.4.1 ~ x
엣지 서버
GSLB
Foo.com
IP 1.1.1.1
사용자 좀비
2
1
4
3
B B B B
www.foo.com.cdnga.net
image.foo.com.cdnga.net
service.foo.com.cdngc.net
1
2
3
4
라우터에서 ACL로 IP 차단(화이트 리스트와 블랙
리스트) 및 null 라우팅
DDoS 방어 어플라이언스로 볼륨 기반 공격과
프로토콜 공격 차단
엣지 서버 HTTP Flooding 차단 에이전트 HTTP
Flooding 공격 차단
서비스 흐름도 2 - DDoS 방어
20. - 20 -
Spoofed IP protection
Abnormal Fragment Protection
UDP Flooding Protection by source IP
ICMP Flooding Protection by source IP
Abnormal Behavior Protection
Abnormal State Protection (ACK Flooding, etc.)
Session limit per source IP
SYN Flooding Protection
Session Based POST Attack protection
Block Land Attack
Block Private IP defined by RFC 1918
Abnormal packet(TCP/UDP/ICMP/IP) protection
Blacklist / Whitelist Protection based on the Time
Amplification Style Attack(DNS, NTP, etc)
Anti-DDoS appliance L3/L4 layer attack
GET Flooding Attack
POST Flooding Attack
L7 signature Protection
Block Suspicious HTTP Request
RUDY attack
Slowloris attack
HULK Attack
HTTP Flooding Protection
SSL Renegotiation Attack
HTTP Flooding
Block Agent
L7 layer attack
Attack Type Block System Layer
Cloud Security – DDoS 방어
주요 기능
21. - 21 -
Cloud Security – WAF
오리진 서버
전 세계에 분산된 WAF 노드를 기반
으로 지역별 현지 공격 방어
CDN 엣지와 쉴드 서버 결합으로
웹 성능 보장
오리진 서버에서 일반 요청 접수
Cloud WAF로 요청
퍼스트 마일
CDNetworks
Cloud WAF
라스트 마일
최종 사용자 / 해커
아키텍처
22. - 22 -
Cloud Security – WAF
캐시
L7 DDoS 모드
적용
Static 규칙
적용
IP Reputation
적용
WAF 규칙
적용
행위 기반
탐지 적용
최종 사용자오리진 서버
Big Data
Engine
Central
Config Engine
커뮤니케이션 에이전트
규칙과 설정
Static 규칙과 구성,
TTL을 이용한 동적 규칙
트래픽 데이터
요청 정보, 응답 시간/헤더 세션 및 장치 데이터, 사용
자 GUI 상호 작용
동적 데이터 처리 및 동적 규칙 생성 결과가
TTL과 함께 수집됩니다.
CDNetworks 템플릿으로 생성한 정적 규
칙은
manual purge로 삭제될때까지 서비스 노
드에
입력됩니다.
CSC(Central Security Cloud)
5 단계 방어 시스템 기반 보안 방화벽으로 공격 즉각 인지 및 차단
서비스 흐름도
비동기 백그라운드와 실시간에 가까운 프로세스
인라인 실시간 프로세스
23. - 23 -
Cloud Security – WAF
활성화/비활성화
Cloud에서 보낸 명령
모드가 활성화된 경우,
Cloud로 보낸 통계 정보
L7 DDoS 모드
적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF - L7 DDoS 공격 필터링
24. - 24 -
Cloud Security – WAF
계정 생성하거나
사용자가 설정 변경할 경우
설정된 규칙 적용
Cloud로
이벤트(위반) 전송
Static 규칙
적용
Big Data
Engine
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF - Static 규칙 기반 방어
25. - 25 -
Cloud Security – WAF
의심스러운 IP 목록이
태그 되고 위험 수준과 함께
서비스 노드로 전달
Cloud로
이벤트(위반) 전송
IP Reputation
적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF - IP Reputation 기반 방어
26. - 26 -
Cloud Security – WAF
계정 설정 시 서비스 노드로
규칙 템플릿 전달
이벤트(위반)를 IP 및
세션 데이터와 함께 Cloud로 전송
WAF 규칙
적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF – 시그니처 기반 방어
27. - 27 -
Cloud Security – WAF
동적 요청 데이터
(브라우저와 GUI 상호 작용 데이터
+ 위반 데이터 포함)
동적 규칙과
TTL 값
행위 기반
탐지 적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF – 행위 기반 방어
28. - 28 -
Cloud Security – WAF
카테고리 설명 UI
스팸 및 웹게시판
오용/남용 방어
스팸 등 웹게시판에 대한 오용, 남용을 막기 위한 방어 셋트
(예: 자동 게시 도구를 이용한 광고성 게시물 등록 금지)
UI로 켜기/끄기 가능
CMS 플랫폼 보호
유명한 CMS와 Wordpress, Joomla, Durpal 등
이미 알려진 취약점을 개선하기 위한 도구 및 규칙 세트
애플리케이션 DDoS 방어
HTTP-Get Flood, Slow Loris, Rudy 등 7계층 DDoS로
웹사이트를 공격하려는 시도로부터 보호
항시 활성화
WAF(SQLi, XSS 등)
SQL Injections 및 Cross Site Scripting(XSS),
그 외 인적(human)/비인적(non-human) 공격 등 해킹 시도에 대한 첫 번째 계층 방
어
UI로 켜기 / 끄기 가능
Reputation 방화벽
CDNetworks의 CSC(Central Security Cloud)에서
위험 또는 악성으로 분류한 IP 트래픽 차단
스크린 스크랩핑 방어
CDNetworks의 고급 스크랩핑 방지 솔루션으로
데이터 크롤링 봇과 스크린 스크랩핑 프로그램으로부터 사이트 보호
CDNetworks 행위 기반
악성 봇과 고위험 세션을 차단하는 사용자 동작 위험 평가.
저대역폭 DDoS 공격, brute-forcing 공격, 해커와 서버간의 검색과 공격 계획을 차단
함으로써
다른 모든 보안 계층의 성능과 탄력성을 강화하여 정교한 공격을 완화
사용자 지정 규칙 지원 UI를 이용한 사용자 정책 설정
주요 기능
29. - 29 -
Cloud Security – WAF
• 특정 규칙 세트에 부합하는 요청 허용1. 허용
• 특정 규칙 세트에 부합하는 요청 차단2. 차단
• 클라이언트에게 주어진 문자열 입력 요청
3. Captcha
(자동 로그인 방지)
• 클라이언트의 비정상/의심 동작 확인 검사
• 검사 소요시간 최대 2초
• IP Reputation 방화벽에 대한 기본 조치
4. 확장된 브라우저
유효성 검사
• 클라이언트의 비정상/의심 동작 확인 검사
• 간단한 검사 프로세스
5. 브라우저 유효성 검
사
진행 순위
비정상 요청에 적용 가능한 5가지 조치
30. - 30 -
행위 기반 방화벽 관리
전체 정보 요약
사용자 정의 규칙 생성
도메인별 보안 설정
Cloud Security – WAF
대시보드
31. - 31 -
Cloud Security – 가치
- DDoS 및 웹 보안 공격 완벽 방어
- 전 세계에 분산된 260+Gbps
DDoS
및 웹 방화벽 인프라 활용
- DDoS 우회 방어와 행위 기반
웹 방화벽
- 기존 솔루션이 지닌 한계를 해소
할 수 있는 완벽한 솔루션
- 쉬운 작동, 즉시 사용 가능, 서비
스 규모 따른 지불 모델 제공
“웹 서비스를 보다 빠르고 안전하게 비용 효율적으로 운영 가능”
+ +