2018년 12월 12일에 촬영한 한국어 웨비나입니다. Cloudflare는 적용이 빠르고 DDoS 방어에 효과적이라는 이점이 있어 소위 Under Attack이라고 불리는, DDoS 공격을 실시간으로 받고 있어 빠르게 방어책을 적용해야 하는 고객사를 많이 받는 편입니다. 이 페이지를 통해 많이 sign up 하십니다. 반면에 이미 Cloudflare를 사용하고 있어도, 오리진 서버를 전체공개 하셨다든지 필요한 설정이 정확하게 되어 있지 않으면 공격자에게 취약한 부분을 감지당해 Cloudflare를 적용하고도 공격을 받으시는 경우가 발생하기도 합니다. 이 웨비나는 어떤 Plan이든 Cloudflare를 사용하시는 고객께서 정확한 설정으로 DDoS 방어 효과를 잘 누리셨으면 해서 촬영했습니다.
최근 화두인 마이데이터사업에 대한 정의를 살펴보고, 마이데이터 사업을 위한 네이버클라우드플랫폼 서비스 및 구성방안에 대해 안내해드립니다. | We will look at the definition of MyData business, which is a hot topic recently, and guide you on Naver Cloud Platform service and architecture for MyData business.
클라우드의 트렌드에 따른 멀티클라우드 전략을 소개하고 멀티클라우드를 구현하기 위한 네이버클라우드플랫폼 서비스를 소개합니다 | Introduce multi-cloud strategies according to trends in the cloud and Naver Cloud platform services to implement multi-cloud
발표영상 다시보기: https://youtu.be/BZhbRQFwkMQ
AWS의 기본 서비스 중 가상 네트워크에서 AWS 리소스를 구동할 수 있는 클라우드 상의 논리적으로 격리된 공간인 VPC와 애플리케이션 트래픽을 로드 발란싱 할 수 있는 ELB, OnPremise와 연결할 수 있는 Direct Connect 및 VPN에 대해 이해할 수 있습니다.
This is the presentation used for the Amazon Web Services 101 event in Seoul.
The video has been produced by Simone Brunozzi, AWS Technology Evangelist, APAC.
You can reach him on Twitter: http://twitter.com/simon
[Container 기반의 DevOps] Cloud Native
열린기술공방에서 처음으로 런칭한 교육 프로그램의 트렌드 세션 자료입니다. 급변하는 환경에 맞춘 SW를 개발하고 배포하기 위해, 빠른 의사결정을 할 수 있는 환경과 프로세스가 더욱 중요해지고 있는데요. 기업들에게 왜 클라우드 네이티브 전략이 필수적인지에 대해 소개한 자료입니다.
열린기술공방의 교육 과정을 통해 Kubernetes위에서 동작하는 Application의 빌드부터 배포까지의 과정을 한 눈에 확인하실 수 있습니다.
글로벌 향 서비스 구축 시, 네이버 클라우드 플랫폼에서 사용할 수 있는 서비스들과 인프라단에서 고려해야 할 사항들에 대해서 자세히 소개해 드립니다 | Let me introduce you in detail the services available on the Naver cloud platform and what the infrastructure needs to consider when building a global service.
최근 화두인 마이데이터사업에 대한 정의를 살펴보고, 마이데이터 사업을 위한 네이버클라우드플랫폼 서비스 및 구성방안에 대해 안내해드립니다. | We will look at the definition of MyData business, which is a hot topic recently, and guide you on Naver Cloud Platform service and architecture for MyData business.
클라우드의 트렌드에 따른 멀티클라우드 전략을 소개하고 멀티클라우드를 구현하기 위한 네이버클라우드플랫폼 서비스를 소개합니다 | Introduce multi-cloud strategies according to trends in the cloud and Naver Cloud platform services to implement multi-cloud
발표영상 다시보기: https://youtu.be/BZhbRQFwkMQ
AWS의 기본 서비스 중 가상 네트워크에서 AWS 리소스를 구동할 수 있는 클라우드 상의 논리적으로 격리된 공간인 VPC와 애플리케이션 트래픽을 로드 발란싱 할 수 있는 ELB, OnPremise와 연결할 수 있는 Direct Connect 및 VPN에 대해 이해할 수 있습니다.
This is the presentation used for the Amazon Web Services 101 event in Seoul.
The video has been produced by Simone Brunozzi, AWS Technology Evangelist, APAC.
You can reach him on Twitter: http://twitter.com/simon
[Container 기반의 DevOps] Cloud Native
열린기술공방에서 처음으로 런칭한 교육 프로그램의 트렌드 세션 자료입니다. 급변하는 환경에 맞춘 SW를 개발하고 배포하기 위해, 빠른 의사결정을 할 수 있는 환경과 프로세스가 더욱 중요해지고 있는데요. 기업들에게 왜 클라우드 네이티브 전략이 필수적인지에 대해 소개한 자료입니다.
열린기술공방의 교육 과정을 통해 Kubernetes위에서 동작하는 Application의 빌드부터 배포까지의 과정을 한 눈에 확인하실 수 있습니다.
글로벌 향 서비스 구축 시, 네이버 클라우드 플랫폼에서 사용할 수 있는 서비스들과 인프라단에서 고려해야 할 사항들에 대해서 자세히 소개해 드립니다 | Let me introduce you in detail the services available on the Naver cloud platform and what the infrastructure needs to consider when building a global service.
Azure Networking: Innovative Features and Multi-VNet TopologiesMarius Zaharia
Are you looking to deploy a more complex structure of resources in Azure, all secured and segregated by precise boundaries while closely communicating with each other? Following the arrival of the advanced IaaS networking features in Azure (network security groups, routing, multi-NIC, …) and their maturation in the last months, here is the moment for you to find a modern architectural vision of networking in Azure, with focus on multi-VNET / VPN topologies, and based on ARM deployment model.
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021Amazon Web Services Korea
Amazon VPC 내의 주요 자원을 보호하거나 규정 준수를 위해 사용되어야 하는 보안 어플라이언스의 효율적인 구성을 돕는 AWS Gateway Load Balancer의 사용 방법과 동작 원리를 알려 드립니다. Amazon VPC 내부에서 인터넷 사이트의 접근을 제한하거나 외부로부터의 침입 탐지 및 차단 기능을 사용할 수 있는 IPS 기능을 포함하는 AWS 의 관리형 방화벽인 AWS Network Firewall 의 사용 방법과 구성 가능한 다양한 레퍼런스 케이스에 대해서도 설명해 드립니다.
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS에서 분산 서비스 거부 공격(DDoS)을 고민하지 않는 ...Amazon Web Services Korea
게임 서비스는 종종 악의적인 사용자에 의해 의도적인 서비스 거부 공격을 받습니다. 서비스 거부 공격은 인프라 수준의 공격인 경우와 어플리케이션 수준의 공격으로 나눌 수 있는데, 두 가지 공격에 대해 AWS 기반으로 어떻게 피해를 최소화 할 수 있는지와 사례를 소개합니다.
Scaling Redis Workloads with Amazon ElastiCache - AWS Online Tech TalksAmazon Web Services
Learning Objectives:
- Learn how to horizontally scale Redis clusters within ElastiCache
- Learn about features to secure data in ElastiCache for Redis
- Learn about ElastiCache for Redis use cases to speed up real-time applications in web, gaming, ad-tech, media
워크로드에 맞는 데이터베이스 찾기
박주연 솔루션즈 아키텍트, AWS
급진적으로 늘어나는 데이터, 점차 다양해지는 워크로드의 특성에 적합한 데이터 관리를 위해 AWS는 광범위한 데이터베이스 선택 옵션을 제공합니다. 본 세션에서는 관계형 데이터베이스를 비롯, NoSQL, 인메모리, 그래프 등 특정 애플리케이션에 적합한 데이터베이스를 선택할 수 있도록 AWS가 제공하는 데이터베이스 서비스의 개요를 소개합니다. Amazon RDS와 Aurora, DynamoDB, Elasticache 및 Neptune 서비스에 대해 알아봅니다.
딥러닝 서비스에 쓰이는 GPU 인스턴스 비용 효율을 위한 스팟(Spot) 활용기 - 손은주, 매스프레소 :: AWS DevDay 2018Amazon Web Services Korea
딥러닝 서비스에 쓰이는 GPU 인스턴스 비용 효율을 위한 스팟(Spot) 활용기 (손은주, 매스프레소) :: AWS DevDay 2018
매스프레소는 딥러닝 기반 OCR 검색 엔진을 자체 개발하여, 수학 문제 이미지 속 텍스트와 수식을 인식하여 풀이를 제공해주는 ‘콴다’앱를 운영 중입니다. 스타트업이 딥러닝 기반 서비스를 만들기 위해 AWS가 제공하는 GPU 인스턴스를 활용하는 방법과 에이전트 기반 지표 수집, 그리고 비용 절감을 위해 스팟 인스턴스를 활용하여 안정된 서비스 운영 방법 등을 공유합니다.
Aurora MySQL Backtrack을 이용한 빠른 복구 방법 - 진교선 :: AWS Database Modernization Day 온라인Amazon Web Services Korea
발표영상 다시보기: https://kr-resources.awscloud.com/data-databases-and-analytics/aurora-mysql-backtrack%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EB%B9%A0%EB%A5%B8-%EB%B3%B5%EA%B5%AC-%EB%B0%A9%EB%B2%95-%EC%A7%84%EA%B5%90%EC%84%A0-aws-database-modernization-day-%EC%98%A8%EB%9D%BC%EC%9D%B8-2
Aurora MySQL은 기존 MySQL의 운영에 추가한 많은 기능들을 제공해 드리고 있습니다. 이 중 복구에 관련된 기능인 Aurora MySQL PITR과 Backtrack에 대한 소개를 드리고자 합니다. 두 기능을 통해 운영 중 일어날 수 있는 rollback 상황에서, 어떠한 방식으로 복구를 할 수 있는지 실습해보실 수 있습니다.
Azure Networking: Innovative Features and Multi-VNet TopologiesMarius Zaharia
Are you looking to deploy a more complex structure of resources in Azure, all secured and segregated by precise boundaries while closely communicating with each other? Following the arrival of the advanced IaaS networking features in Azure (network security groups, routing, multi-NIC, …) and their maturation in the last months, here is the moment for you to find a modern architectural vision of networking in Azure, with focus on multi-VNET / VPN topologies, and based on ARM deployment model.
더욱 진화하는 AWS 네트워크 보안 - 신은수 AWS 시큐리티 스페셜리스트 솔루션즈 아키텍트 :: AWS Summit Seoul 2021Amazon Web Services Korea
Amazon VPC 내의 주요 자원을 보호하거나 규정 준수를 위해 사용되어야 하는 보안 어플라이언스의 효율적인 구성을 돕는 AWS Gateway Load Balancer의 사용 방법과 동작 원리를 알려 드립니다. Amazon VPC 내부에서 인터넷 사이트의 접근을 제한하거나 외부로부터의 침입 탐지 및 차단 기능을 사용할 수 있는 IPS 기능을 포함하는 AWS 의 관리형 방화벽인 AWS Network Firewall 의 사용 방법과 구성 가능한 다양한 레퍼런스 케이스에 대해서도 설명해 드립니다.
[Games on AWS 2019] AWS 사용자를 위한 만랩 달성 트랙 | AWS에서 분산 서비스 거부 공격(DDoS)을 고민하지 않는 ...Amazon Web Services Korea
게임 서비스는 종종 악의적인 사용자에 의해 의도적인 서비스 거부 공격을 받습니다. 서비스 거부 공격은 인프라 수준의 공격인 경우와 어플리케이션 수준의 공격으로 나눌 수 있는데, 두 가지 공격에 대해 AWS 기반으로 어떻게 피해를 최소화 할 수 있는지와 사례를 소개합니다.
Scaling Redis Workloads with Amazon ElastiCache - AWS Online Tech TalksAmazon Web Services
Learning Objectives:
- Learn how to horizontally scale Redis clusters within ElastiCache
- Learn about features to secure data in ElastiCache for Redis
- Learn about ElastiCache for Redis use cases to speed up real-time applications in web, gaming, ad-tech, media
워크로드에 맞는 데이터베이스 찾기
박주연 솔루션즈 아키텍트, AWS
급진적으로 늘어나는 데이터, 점차 다양해지는 워크로드의 특성에 적합한 데이터 관리를 위해 AWS는 광범위한 데이터베이스 선택 옵션을 제공합니다. 본 세션에서는 관계형 데이터베이스를 비롯, NoSQL, 인메모리, 그래프 등 특정 애플리케이션에 적합한 데이터베이스를 선택할 수 있도록 AWS가 제공하는 데이터베이스 서비스의 개요를 소개합니다. Amazon RDS와 Aurora, DynamoDB, Elasticache 및 Neptune 서비스에 대해 알아봅니다.
딥러닝 서비스에 쓰이는 GPU 인스턴스 비용 효율을 위한 스팟(Spot) 활용기 - 손은주, 매스프레소 :: AWS DevDay 2018Amazon Web Services Korea
딥러닝 서비스에 쓰이는 GPU 인스턴스 비용 효율을 위한 스팟(Spot) 활용기 (손은주, 매스프레소) :: AWS DevDay 2018
매스프레소는 딥러닝 기반 OCR 검색 엔진을 자체 개발하여, 수학 문제 이미지 속 텍스트와 수식을 인식하여 풀이를 제공해주는 ‘콴다’앱를 운영 중입니다. 스타트업이 딥러닝 기반 서비스를 만들기 위해 AWS가 제공하는 GPU 인스턴스를 활용하는 방법과 에이전트 기반 지표 수집, 그리고 비용 절감을 위해 스팟 인스턴스를 활용하여 안정된 서비스 운영 방법 등을 공유합니다.
Aurora MySQL Backtrack을 이용한 빠른 복구 방법 - 진교선 :: AWS Database Modernization Day 온라인Amazon Web Services Korea
발표영상 다시보기: https://kr-resources.awscloud.com/data-databases-and-analytics/aurora-mysql-backtrack%EC%9D%84-%EC%9D%B4%EC%9A%A9%ED%95%9C-%EB%B9%A0%EB%A5%B8-%EB%B3%B5%EA%B5%AC-%EB%B0%A9%EB%B2%95-%EC%A7%84%EA%B5%90%EC%84%A0-aws-database-modernization-day-%EC%98%A8%EB%9D%BC%EC%9D%B8-2
Aurora MySQL은 기존 MySQL의 운영에 추가한 많은 기능들을 제공해 드리고 있습니다. 이 중 복구에 관련된 기능인 Aurora MySQL PITR과 Backtrack에 대한 소개를 드리고자 합니다. 두 기능을 통해 운영 중 일어날 수 있는 rollback 상황에서, 어떠한 방식으로 복구를 할 수 있는지 실습해보실 수 있습니다.
안랩은 글로벌 통합 보안 기업으로서 다양한 네트워크 보안 제품의 라인업을 구축하고 있습니다. DDoS 방어 장
비인 TrusGuard DPX와 더불어 고성능 방화벽인 TrusGuard, APT 대응 솔루션인 TrusWatcher로 청정 네트워
크를 구현합니다. 또한 TrusGuard DPX는 DDoS에 특화된 사전 컨설팅, DDoS 공격 모의 대응 훈련, 보안 관제
등 다양한 서비스와 결합한 차별화된 프로세스를 선보입니다.
• 서비스 장애에 따른 매출 감소 및 업무 중단 방지
• 자동 대응을 통한 인적 리소스 부담 최소화
- 다양한 필터와 자가학습(Self-Learning)을 통한 자동 방어 설정 기능으로 운영 리소스 절감
※ 네트워크 장비를 통한 방어 시, 공격이 진행되는 동안 관리자가 수동으로 계속 접근제어 설정을 변경해야만 합니다.
• 신종 DDoS 공격에 대한 신속한 대응 가능
- 신종 공격 발견 시, 즉각적인 대응 필터 적용
※ 안랩은 지속적으로 신규 악성코드를 모니터링 및 분석하고 있으며, 이를 통해 2009년 7 · 7 DDoS 대란, 2011년 3 · 4
DDoS 공격 당시 그 진가를 유감없이 발휘한 바 있습니다.
• 모의 DDoS 공격 대응 훈련을 통한 기업의 DDoS 방어 능력 측정
(DPX 구매 시 DDoS 공격 대응 모의훈련 1회 무상 제공)
• 24시간 x 365일 관제 서비스를 통한 실시간 모니터링
(‘AhnLab DPX + 보안관제 서비스’ 패키지 이용 고객에 한 함)
•기업 내부의 좀비 PC 탐지 및 제거, 내부로부터의 DDoS 공격 발생 방지
(AhnLab DPX + AhnLab Watcher 패키지 구매 시)
2020년 3월 10일에 오래간만에 촬영한 한국어 웨비나입니다. Cloudflare는 네트워크 보안을 많이 다루는데, 네트워크 보안 관련 위협이 되는 직간접적인 요소들을 짚어보고, 이런 요소들로 인해 비즈니스에 어떤 구체적인 위협들이 있는지, 공격자가 어떤 식으로 공격을 실행하는지, 그 후 보안 솔루션으로서 Cloudflare가 소개된 공격들을 막을 수 있도록 어떤 방법들을 구비하고 있는지를 설명했습니다.
AWS의 CDN 서비스인 CloudFront의 가속 및 DDoS 방어 소개
# CloudFront 장점
- 수퍼 PoP: AWS 클라우드 구축/운영 Know-How 가 담긴 고성능/대용량 아키텍쳐
* 국내 최대 Capacity / 가장 빠르게 성장하는 글로벌 CDN 서비스
- Single-Service: (캐싱, 다이나믹 가속, HTTPS, AWS Shield Standard 등) 동일 가격 체계로 제공
- AWS Backbone 전용망: Edge <=> Origin 가속
- 인라인 DDoS 방어: Shield Standard & Advance
- AWS 서비스 연동성
오랜 기간 우리의 인프라를 괴롭혀온 DDoS 공격은 방어 기법의 발전에도 불구하고 나름의 진화 과정을 거치며 생존했습니다. DDoS 공격은 다양한 유형의 공격 기법과 회선 초과의 조합 때문에 막기가 쉽지 않으며, 효과적인 대응을 위해서는 보안 장비 외에 인프라 차원에서의 대응과 전환 절차가 필요합니다.
공격과 방어의 트렌드를 짚어보고, 알려진 방법들의 한계점을 분석하며, 기술적/전략적 관점에서의 대응 방법을 공유합니다.
목차
1. DDoS?
2. 진화와 공방
3. 진압 기법들과 딜레마
4. 대응 절차와 준비물
대상
시스템/네트워크/보안 인프라를 담당하는 인프라 전문가 또는 관련 개발자
No trade-offs: 안전하고, 빠르고, 안정적인 네트워크 구축하기 / Building secure, fast, and reliabl...Jean Ryu
Cloudflare Magic Transit 제품에 관한 웨비나였습니다. Magic Transit은 온프레미스 데이터센터의 보안 강화를 위해 도입하실 수 있는 디도스 스크러빙 제품입니다. 거꾸로 가는 남자(?)도 아니고 2020년이 다 됐는데 이 회사는 클라우드 솔루션부터 시작했으면서 이 시점에 온프레미스용 제품을 신규 출시하십니까...라는 의문이 드셨다면 정상입니다. 웨비나에서 대답해 드립니다.
하시코프와 함께하는 알리바바 클라우드 DevSecOps 뽀개기 E01 SecOpsAlibaba Cloud Korea
해당 PPT에 대한 웨비나를 시청해보세요: https://youtu.be/Coty0etlGHU
지난 10월 6일 하시코프와 알리바바 클라우드의 조인트 웨비나 E01에서는 하시코프와 알리바바 클라우드의 인프라 보안에 대한 논의가 진행되었습니다.
하시코프에서는 Packer Image, Terraform Provisioning, Vault SSH를 알리바바 클라우드에서는 Alibaba Cloud의 인프라 보안, WAF, Anti-DDoS, Cloud Firewall, Security Center - Infra 를 다룹니다.
3. 질문 #1
귀하의 사이트/어플리케이션에 DDoS 공격을 받아보신 일이 있습니까?
● 아니오, 하지만 방어책이 필요합니다.
● 아니오, 하지만 이미 방어책이 있습니다.
● 네, 그리고 더 효율적인 방어책이 필요합니다.
● 네, 하지만 다시는 공격받을 것 같지 않습니다.
5. Volumetric DNS Flood
Bots
DNS Server
Server
증폭 공격 (Layer 3 & 4)
HTTP Flood (Layer 7)
1
2
Bots
3
Bots
어플리케이션, 웹사이트, API의 가용성과 성능을 저하
HTTP
Application
Application/Login
DDoS 공격의 유형
5
6. 2018년 이후의 DDoS 트렌드
More
Frequent
Difficult to
Mitigate
DNS
Layer 7
SSL CPU
Exhaustion
HTTP
Layer 7
Layer 3/4
500
Gbps
100
Gbps
200
Gbps
40
Gbps
비교적 소규모의 L7 기반 공격이 L3/4 공격보다 완화하기 어렵습니다
Less
Frequent
8. Memcached 를 이용한 DDoS 공격 - Github(1.3Tbps)
More info : https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
20~25Mpps spike
200~250Gbps BW
9.
10. 방어책
방어 방법 Prerequisite
On-premise DDoS 방어 전용 물리 장비를 서버 윗단에 위치시킨다 Host hardwares
on-premise
Scrubbing
Center
(ISP clean pipe)
공격을 받는 중에 스크러빙 센터에 연락하여 DNS redirection OR BGP
redirection 방식으로 트래픽을 우회시킨다
/24 public IPv4
range
Cloud Reverse
Proxy
DNS 적용을 통해 모든 공격트래픽이 늘 프록시의 방어벽을 먼저
통과하도록 설정한다
Domain name
11. 스크러빙 센터 솔루션 vs. Cloudflare Always-On
스크러빙 솔루션
- On-demand
- 긴 전파 시간(최대 300초)
- 비동기식 라우팅
- 지연 시간 추가
- 일반적으로 수동 설정이 필요
Always-On
- Always on
- 전파 시간 없음
- 동기식 라우팅
- 지연 시간 추가 없음
- 공격의 즉시/자동 완화
12. 스크러빙 센터 솔루션 vs. Cloudflare Always-On (cont.)
공격 발생
방어 설정
방어 시작
방어 완료
다음 공격
발생
방어 설정
방어 완료
방어 시작
Cloudflare
방어 설정
다음 공격
발생
방어 설정
공격 발생
+ 방어
공격 발생
+ 방어
공격 발생
+ 방어
Load
Time
13. Cloudflare 네트워크
방문자의 리퀘스트는 가장 가까운 위치의 PoP 을 거쳐 origin 으로 라우팅됩니다.
155+
Data centers globally
20Tbps+
Total bandwidth and expanding
10%
Internet requests
10MM
Requests/second
websites, apps & APIs
in 150 countries
12M+
14. Unicast
네트워크의 각 노드에 IP가 할당되는 방식
● 인터넷 대부분이 이 방식으로 동작
● 각각 노드에 IP가 할당
● 네트워크를 돌리는 가장 쉬운 방식
1.1.1.4
1.1.1.3
1.1.1.2
1.1.1.1
15. Anycast
Cloudflare 는 모든 엣지에 같은 IP 를 할당하여 라우팅합니다
● 여러 노드가 하나의 IP 주소를 공유
● 리퀘스트는 가장 짧고 빠른 경로로 라우팅
● 특정 콘텐츠에 접속하는 데에 다수 경로가 제공됨
1.1.1.1
1.1.1.1
1.1.1.1
1.1.1.1
16. // Cloudflare 를 활용하여 DDoS 방어/예방하기
CONFIDENTIAL
요구사항: 도메인, 레지스트라(등록대행자) & 오리진 서버 & 인증서에 대한
운영자 권한
17. Cloudflare 를 활용한 DDoS 방어하기
1. cloudflare.com 에 계정 생성
2. Add a site – 도메인 추가 (e.g. theburritobot.com)
3. Cloudflare 에서 자동으로 도메인의 DNS 레코드를 스캔
4. 유저는 모든 레코드가 실제 레코드와 동일한지 확인
18. 1. cloudflare.com 에 계정 생성
2. Add a site – 도메인 추가 (e.g. theburritobot.com)
3. Cloudflare 에서 자동으로 도메인의 DNS 레코드를 스캔
4. 유저는 모든 레코드가 실제 레코드와 동일한지 확인
5. 네임서버 마이그레이션
6. TLS(SSL) 인증서 - 자동 발급/프로비저닝/리뉴얼
Cloudflare 를 활용한 DDoS 방어하기
26. Cloudflare Spectrum
HTTP/S가 아닌 트래픽을 Cloudflare 를 통해 프록시할 수 있습니다.
TCP/UDP 프로토콜과 포트에 대한 DDoS 방어
Cloudflare Spectrum은 150+개의 데이터 센터를 통해 HTTPS가
아닌 모든 TCP 트래픽을 프록시하여 열린 포트에서 레이어 3 및 4를
대상으로하는 DDoS 공격으로부터 보호합니다.
HTTP/S가 아닌 트래픽의 암호화
Cloudflare Spectrum은 Universal SSL로 비 HTTP/S TCP 트래픽을
암호화하여 전송중인 데이터의 스누핑 (snooping)을 방지합니다.
개별 IP 나 범위를 이용한 트래픽 통제
Spectrum은 Cloudflare의 IP 방화벽과 통합되어 특정 IP 또는 IP
범위의 트래픽을 엣지에서 차단할 수 있습니다.
2
1
Client
Encrypted
TCP Traffic
SSH
SMTP
SFTP
SSH
SMTP
SFTP
3
Client
SSH
SMTP
SFTP
IP
10.0.0.1
10.0.0.1
33. DDoS 공격 유형에 따른 방어법
Layer 3/4 공격 Layer 7 공격
Layer 3(네트워크 계층, ICMP flood 등) 이나 Layer 4(전송
계층, TCP SYN flood나 UDP flood 등) 에 기반한 트래픽 증폭
공격
어플리케이션 레이어(HTTP) 리퀘스트를 보내는 공격
(GET flood 등)
엣지에서 자동으로 방어 “I’m Under Attack” Mode, WAF, Security Level,
Rate Limiting, etc
*주의사항: Origin 서버에서 Cloudflare 의 접근허용 설정 및 기타 IP의 직접접근 차단이 필요 https://cloudflare.com/ips
34. I’m Under Attack! Mode
삽입 페이지 예시
● 공격을 받고 있을 때 활성화하도록 설계
● 모든 인입 트래픽이 자바스크립트 기반 웹브라우저 Challenge 를 통과하여야 콘텐츠 접근 가능
● Challenge 가 통과되는 동안 방문자는 삽입 페이지를 보게 됨
35. Cloudflare Rate Limiting
More information
https://www.cloudflare.com/rate-limiting/
트래픽 패턴과 일치하는 IP 주소 당 리퀘스트 정확한 DDoS 공격 방어
• 임계치 설정 옵션을 통해 높은 정확도의 DDoS
방어 제공
고객 데이터 보호
• Brute force 공격으로부터 민감한 고객 정보
보호
가용성 보장
• HTTP 리퀘스트에 대한 사용 제한 설정을 통해
오리진 서버 부담 감소
비용 절감
• 실 트래픽만 허용하는 임계치 설정을 통해
트래픽 폭증으로 인한 오리진 대역폭 부담을
덜고 비용을 예측가능한 수준으로 억제