Amazon AWS를 위한 새로운 자동 확장 및 독립형 WAF 솔루션
조금 벗어나서 세계에서 가장 인기 있는 비디오 주문형 서비스인 Netflix에 대해 이야기해 보겠습니다. 넷플릭스는 2009년부터 2016년까지 구독자 수가 1,200만 명에서 4,800만 명으로 엄청나게 늘어났으며, 2016년 마지막 3개월 동안만 143만 명의 신규 고객이 추가되었습니다. 그 기간 동안 넷플릭스의 주요 이해관계자라는 행운을 누렸다면 은행까지 웃으며 갔을 겁니다. 하지만 이 폭발적인 성장을 뒷받침하는 인프라를 제공하는 업무를 맡은 IT 팀의 일원이었다면 머리를 긁적이었을지도 모릅니다.
수요 증가에 대응하기 위해 자체 데이터 센터를 확장하는 것은 관련 자본 및 운영 지출로 인해 실행 불가능했으며, 관리 측면에서도 어려움이 따를 것이었습니다. 그래서 거의 같은 시기에 그들은 미지의 세계로 한 걸음 내딛고 7년 프로젝트에 착수했습니다. 그 프로젝트는 모든 운영을 AWS 클라우드로 전환하는 것이었고, 이를 통해 클라우드 공급업체가 제공할 수 있는 무한한 확장성을 활용할 수 있었습니다. 아시다시피, 그들은 최근에 이 업적을 달성했습니다.
'이제 끝났다'고 생각하는 사람도 있겠지만…그 생각은 틀렸습니다. 장기적으로 증가하는 수요에 맞춰 확장할 수 있는 능력은 하나의 중요하지만, 단기적으로 수요가 크게 변동하는 경우에는 어떻게 해야 할까요? 최근 조사에 따르면 인터넷 러시아워(오후 7시~11시)에 Netflix가 미국 전체 다운스트림 트래픽의 35.2%를 차지하는 것으로 나타났습니다. 그러나 놀랍지 않게도 이 시간대를 제외한 다른 시간대에는 전체 다운스트림 트래픽의 훨씬 작은 부분을 차지하면서 아래 그림 1에서 볼 수 있듯이 수요에 주기적 진동이 나타났습니다. 이 그림은 이 게시물 에서 발췌한 것입니다.
Netflix는 이러한 엄청난 수요 변화에 대처하기 위해 자체 자동 스케일링 알고리즘인 Scryer를 구현했습니다. 이를 통해 혼잡한 시간대 수요를 처리할 만큼 충분한 AWS EC2 인스턴스를 프로비저닝하는 동시에 요구 사항을 초과하는 것으로 간주되는 인스턴스를 취소할 수 있었습니다. 이를 통해 피크 타임에는 사용자에게 프리미엄 서비스 품질을 보장하고, 비수요 시간대에는 컴퓨팅 오버헤드를 최소화할 수 있었습니다.
이는 단지 예시일 뿐이며 F5 솔루션과 특별히 연관이 없지만 현재 시대에 자동 확장 솔루션의 필요성을 인식하게 하며 이 게시물의 핵심인 F5의 새로운 자동 확장 웹 애플리케이션 방화벽(WAF) 솔루션으로 이어집니다.
연관해서, 2016년 데이터 침해의 약 40%가 애플리케이션 계층 공격으로 인해 발생했다는 사실을 알고 계셨나요? 애플리케이션에 대한 수요는 매일매일, 매시간 달라지지만, 한 가지 변함없이 변함없는 것은 애플리케이션 을 보호 해야 한다는 필요성입니다. 처리량 변화에 맞춰 확장 가능한 솔루션이 있더라도, 프로세스 중에 애플리케이션과 데이터의 보안이 위협받는다면 무슨 소용이 있겠습니까? AWS를 위한 F5의 새로운 자동 확장 WAF 솔루션은 트래픽 수준에 관계없이 애플리케이션에 필요한 엔터프라이즈급 보안을 제공하는 동시에, 필요한 퍼블릭 클라우드 리소스만 프로비저닝하고 비용을 지불할 수 있도록 보장합니다.
WAF 솔루션의 핵심은 업계에서 입증되고 ICSA 인증을 받은 BIG-IP ASM과 BIG-IP LTM 입니다. 이 두 가지를 결합하면 L7 DDoS 공격, OWASP 상위 10대 위협, 악의적인 봇 공격을 비롯한 정교한 공격 벡터로부터 포괄적인 보호 기능을 제공합니다. BIG-IP ASM은 자동화된 학습 기능, 동적 프로파일링, 위험 기반 정책을 사용하여 가장 복잡한 공격조차도 애플리케이션 서버에 도달하지 못하도록 추가적인 보안 예방 조치를 적용할 수 있습니다.
하지만 자동 크기 조정 구성 요소는 어떨까요? BIG-IP Virtual Editions , S3 버킷 , Auto Scaling 그룹 , CloudWatch 알람 등 솔루션을 실행하는 데 필요한 모든 것이 AWS CloudFormation 템플릿 에 번들로 제공되어 이러한 서비스가 본능적으로 서로 상호 작용하여 완전히 자율적인 솔루션을 제공합니다. 출시 전에 템플릿은 사용자로부터 몇 가지 매개변수 입력을 요구합니다. 여기에는 언제든지 작동해야 하는 최소 VE 인스턴스 수나, 초과했을 때 자동 확장 그룹에 인스턴스를 시작하거나 취소하도록 알리는 처리량 임계값(일반적으로 최대 인스턴스 처리량의 80%와 20%)이 포함됩니다. 그림 2에서 볼 수 있듯이, 스핀업된 VE 인스턴스는 AWS 가용성 영역에 분산되어 가용성이 더욱 높아집니다.
이 솔루션은 F5 전문가가 BIG-IP 및 AWS 모범 사례에 따라 설계하고 완전히 테스트하여 배포 경험을 단순화하고 사용자가 F5 플랫폼을 자신 있게 배포할 수 있도록 했습니다. 솔루션 내의 BIG-IP ASM 인스턴스는 F5에서 만든 사전 구성된 보안 정책이나 개별 애플리케이션에 맞는 사용자 지정 정책에 따라 배포됩니다.
그리고 그것이 바로 애플리케이션의 요구에 맞춰 확장되어 가장 복잡한 레이어 7 공격으로부터 지속적인 보호를 보장하는 완벽한 WAF 솔루션입니다. 클릭 몇 번으로 AWS 마켓플레이스에서 직접 배포할 수 있으며, 이 전체 설정은 AWS VPC 내에서 1시간 이내에 구현하고 운영할 수 있습니다.
이 시점에서 우리는 주로 자동 확장 WAF 솔루션에 초점을 맞추고 있지만 동일한 AWS Marketplace 제공을 통해 독립형 WAF 이미지를 배포하여 보다 예측 가능하고 일관된 트래픽 흐름으로 애플리케이션을 보호할 수 있다는 점을 추가하겠습니다. 자동 확장 및 독립형 솔루션은 모두 인스턴스당 25Mbps, 200Mbps 또는 1Gbps의 유연한 처리량 옵션을 제공하는 PAYG(pay-as-you-go) VE 인스턴스를 활용합니다.
자세한 내용은 GitHub의 자동 확장 WAF 저장소를 확인하면 됩니다. 여기에서는 CloudFormation 템플릿의 작동 방식에 대한 기술적 통찰력을 더욱 자세히 알아볼 수 있으며, 여기에서 마켓플레이스 페이지를 방문하셔도 됩니다.
관련 자료