NGINX App Protect 서비스 거부를 사용하여 레이어 7 DoS 공격으로부터 앱 보호

사용자 경험이 전부입니다. 소비자와 고객이 사용하지 않는다면 앱과 웹사이트를 가질 이유가 없습니다. 따라서 특히 사용자가 지연, 다운타임 및 오류를 점점 더 견디기 어려워지고 있는 상황에서 긍정적이고 일관된 사용자 경험을 보장하는 것이 중요합니다.

사용자가 앱이나 웹사이트를 사용하면서 부정적인 경험을 하면 평생 고객을 잃을 수도 있습니다. Salesforce 설문조사 에 따르면, 소비자의 61%가 단 한 번이라도 나쁜 경험을 한 후에는 경쟁사로 전환했다고 보고했습니다. 나쁜 경험을 반복하면 버림받게 되는 것은 불가피합니다. 온라인에서 선택할 수 있는 제품이 너무 많으면 브랜드 충성도도 그다지 중요하지 않습니다.

소비자 불만족의 주요 원인 중 하나는 다운타임이고, 서비스 거부(DoS) 공격은 지속적인 다운타임의 주요 원인입니다. 애플리케이션 설계의 변화로 인해 새로운 위협 벡터가 나타났으며 공격자는 20년 이상 사용되어 온 DoS 공격을 최신 아키텍처를 악용하도록 변형했습니다. 2020년 1월부터 2021년 3월 사이에 애플리케이션 계층(7계층)에서 발생한 DoS 공격이 급격히 증가하여 , 모든 DDoS 사고의 16%를 차지했습니다. 실제로 F5 보안 사고 대응팀 에 접수되는 요청 중 절반은 애플리케이션 계층 DoS 공격에 대한 도움을 요청하는 것입니다.

네트워크 계층(4계층)에서의 볼륨형 DoS 공격에는 중앙 집중식 보안 완화책이 효과적일 수 있지만, 애플리케이션 계층 DoS 공격은 보다 집중화되어 있기 때문에 API와 마이크로서비스로 구성되고 클라우드와 같은 보다 유연한 인프라에서 실행되는 점점 더 분산되는 최신 애플리케이션을 보호하기 위한 특수한 방어책이 필요합니다.

기존 보호에서 벗어나기

DoS 공격의 출처가 분산되어 있더라도(즉, DDoS 공격이 되더라도) 네트워크 계층의 기본적인 볼륨 공격은 일반적으로 단일 장치나 서비스를 대상으로 하며 기존의 보호 도구도 마찬가지로 일체형이고 중앙 집중화되어 있습니다. 이러한 도구가 애플리케이션 보안 환경에서 여전히 자리를 잡고 있기는 하지만 충분하지는 않습니다. 오늘날 클라우드 기반 DDoS 보호 서비스는 업계 표준이 되었습니다. 하지만 여전히 애플리케이션이 더 이상 단일 서비스가 아니라 보호가 필요한 많은 통합 지점이 있다는 사실은 해결하지 못하고 있습니다.

디지털 혁신과 이에 따른 API, 마이크로서비스, 클라우드 기반 통합으로의 대규모 아키텍처 전환이 이루어지기 전에는 기본 웹 애플리케이션 방화벽(WAF)만으로도 취약성 악용 및 DoS 공격을 대체로 완화할 수 있었습니다. 예를 들어 클라이언트 측에서 플러드로 나타나는 볼륨 공격의 경우 트래픽이 중앙 집중화되어 있기 때문에 기본 WAF와 기존 DoS 도구가 효과적입니다. 클라우드 스크러빙 서비스는 트래픽이 유입 파이프에 들어가기 전에 공격을 완화하거나 애플리케이션 스택 앞에 보호 기능을 배치할 수 있습니다. 기본 WAF는 여전히 속도 제한, 차단 목록, 봇 시그니처 등을 통해 기존 공격으로부터 보호하지만 위협 환경은 이를 넘어섰습니다.

간단히 말해, 게임이 바뀌었고 기본 WAF와 기존 DoS 보호는 최신 애플리케이션 아키텍처에서는 효과적이지 않습니다.

최신 DoS 공격은 7계층에서 발생하며 암호화된 채널과 대상 애플리케이션 논리에 숨겨져 있기 때문에 감지하기가 훨씬 어렵습니다. 따라서 DoS 공격의 두 가지 가장 큰 지표인 클라이언트 동작과 서버 스트레스를 측정하기 위한 추가적인 보호 계층이 필요합니다.

이 문제를 해결하기 위해 최근 NGINX App Protect 서비스 거부 모듈을 출시했습니다. 이미 WAF와 기존 DoS 보호 기능이 있는 경우 DoS 모듈이 필요한지 궁금할 수도 있습니다. 물론입니다. 계속 읽어서 그 이유를 알아보세요.

현대 건축물에는 현대적 보호가 필요합니다.

암호화는 어디에나 존재하며, 기존의 DoS 보호는 대규모 복호화를 위해 설계되지 않았습니다. 모놀리식 애플리케이션 시대에는 암호화가 그렇게 널리 퍼지지 않았고 클라이언트 측에서만 공격을 감지할 수 있었기 때문에 중앙 집중식 DoS 완화가 합리적이었습니다. 오늘날 거의 모든 트래픽이 암호화되어 있기 때문에 유입 트래픽에만 초점을 맞춘 상태 비저장 DoS 완화는 거의 효과가 없습니다. 특히 공격이 단일 대상 요청을 사용하여 애플리케이션에 스트레스를 가하는 경우 더욱 그렇습니다.

이제 애플리케이션은 마이크로서비스와 같은 분산 아키텍처에 맞게 설계되고 최적화되었으며, 사용자 개인 정보 보호에 대한 강조(및 이에 따른 법률)와 암호화의 발전으로 인해 종단 간 암호화가 일반화되고 있습니다. 최신 아키텍처는 API에 크게 의존하고, API 간 통신( 동서 트래픽 이라고도 함)은 중앙 보안 제어를 통과하지 못할 수도 있습니다.

효과적인 애플리케이션 수준의 DoS 보호를 위해서는 클라이언트 측 이상 징후와 서버 측 스트레스를 감지하는 기능을 포함한 종단 간 가시성과 컨텍스트가 필요합니다. 최첨단 7계층 DoS 공격은 종종 합법적인 트래픽으로 위장되므로 속도 제한, 차단 목록, 서명, 프로토콜 준수와 같은 기본적인 완화책으로는 더 이상 충분하지 않습니다.

정교한 레이어 7 공격은 표면적으로는 합법적인 트래픽처럼 보이고, 기본 WAF에는 이를 감지하는 데 필요한 동작 분석 기능이 없습니다. NGINX App Protect DoS는 클라이언트 이상 징후와 서버 스트레스를 모두 파악하도록 특별히 설계되었으며, 이미 업무에 과중한 부담을 지고 있는 보안 팀의 주의가 필요 없이 동적으로 공격을 식별하고 완화하며 완화 효과를 측정할 수 있습니다.

기본 WAF 방어와 기존 DDoS 완화에만 의존한다면 레이어 7 공격에 대한 적절한 가시성과 맥락을 확보할 수 없으며 지연, 가동 중지, 수익 손실, 브랜드 손상 등 엄청난 결과가 초래될 수 있습니다. 행동 분석을 통해 클라이언트 이상 징후와 서비스 상태를 지속적으로 분석하여 제로데이 DoS 공격을 감지할 수 있습니다. 사이트 동작을 자세히 살펴보면 다음과 같은 질문에 답할 수 있습니다. 기준 교통 패턴과 비교했을 때 비정상적인 점이 있나요? 브라우저에서 온 것처럼 보이지만, 요청에 브라우저에 포함되어야 하는 정보가 누락되어 있지는 않은가요? 요청에 CPU 사용률이 높아지는 복잡한 데이터베이스 쿼리가 포함되어 있습니까?

NGINX App Protect DoS는 일반적인 성능과 동작에 대한 그림을 구축하여 기존 방어 수단을 회피하고 애플리케이션에 스트레스를 가하는 레이어 7 공격에 집중할 수 있습니다.

여러 모듈로 완화

DoS 공격의 결과는 변하지 않았습니다. 성능 저하, 사용자 불만, 수익 손실 등이 그것입니다. 하지만 DoS 공격이 발생하는 방식은 매우 다를 수 있으며, 해커는 암호화와 보안 도구를 사용하여 위협을 합법적인 트래픽으로 위장합니다.

사용자는 아키텍처의 차이를 알아차리지 못할 수도 있지만, 사이트 성능이 좋고 나쁨의 차이는 알 수 있습니다. 공격 트래픽이 폭주하면 지연 시간이 발생하여 사용자 경험이 느리게 느껴집니다. 충분히 느리고, 가장 인내심 있는 사용자(그다지 많지는 않지만!)조차도 거래를 포기하고 다른 사이트로 전환합니다. 단일하고 타겟팅된 요청으로 인해 지연 시간과 서버 스트레스가 발생할 수 있으므로, 특수 애플리케이션 DoS 보호가 중요합니다.

웹 애플리케이션 보안 솔루션은 OWASP 웹 애플리케이션에 대한 자동화된 위협 에 설명된 것과 같은 새로운 공격에 대응하기 위해 계속해서 발전하고 있습니다. 하지만 애플리케이션 런타임에 기본적으로 통합되는 보호 기능이 필요합니다. 뭔가 역동적인 것. 적응 가능한 것. 다른 DoS 솔루션은 SYN 플러드와 같은 네트워크 DDoS 공격에 맞춰 설계되었지만, NGINX App Protect DoS 솔루션은 애플리케이션 리소스에 부담을 주는 레이어 7 공격에 특화되어 있습니다. WAF와 Layer 7 DoS 솔루션을 결합하면 애플리케이션이 취약성 악용과 비즈니스 로직 남용으로부터 모두 보호되므로 손상은 물론 지연, 성능 저하, 가동 중지 시간도 방지할 수 있습니다.

요즘은 상거래가 대부분 온라인에서 이루어집니다. 요즘은 사람들이 대부분 온라인에 접속해 있습니다. 안전하고 보안이 유지되는 장소를 만들어야 합니다. NGINX App Protect WAF 와 NGINX App Protect DoS 모듈을 결합하면 환경, 애플리케이션, 비즈니스에 적합한 강력한 보호 기능을 구축할 수 있습니다.

NGINX App Protect를 직접 사용해 보세요. 오늘 무료 30일 평가판을 시작하거나 저희에게 연락하여 사용 사례에 대해 논의해 보세요 .