DDoS 아키텍처 다이어그램 및 백서

F5는 20년 넘게 고객과 협력하여 분산 서비스 거부(DDoS) 공격으로부터 고객의 애플리케이션을 방어해 왔습니다. 시간이 지나면서 F5는 애플리케이션과 서비스가 DDoS 공격에 대한 회복력을 유지할 수 있도록 돕는 핵심 제품 역량을 개발해 왔습니다. 2018년 이후로 발생한 주목할 만한 공격으로 인해 서비스 제공업체와 관리 서비스 제공업체(MSP), 금융 기관 및 기업은 네트워크를 재설계하여 DDoS 보호 기능을 포함하게 되었습니다. 이러한 고객과 협력하여 F5는 클라우드와 온프레미스 구성 요소를 모두 포함하는 DDoS 보호 참조 아키텍처를 개발했습니다.

참조 아키텍처에는 3~7계층을 보호하기 위한 여러 계층의 온프레미스 방어 시스템이 포함되어 있습니다. 네트워크 방어 계층은 DNS와 3, 4 계층을 보호합니다. 네트워크 공격의 노이즈로부터 해방된 애플리케이션 방어 계층은 CPU 리소스를 활용하여 상위 계층 애플리케이션을 보호할 수 있습니다. 이 설계를 통해 조직은 모든 유형의 DDoS 공격을 방어할 수 있으며 조직의 데이터 센터 전반에 걸쳐 이점을 제공합니다. 마지막으로, DDoS 보호 솔루션의 클라우드 구성 요소는 볼륨형 공격 완화를 위한 안전 장치 역할을 합니다.

DDoS 위협 환경은 끊임없이 진화하고 있지만 F5는 공격이 다음과 같은 특징을 가진 4가지 공격 유형으로 계속 분류된다는 것을 발견했습니다.

• 체적형—3, 4 또는 7계층에 있을 수 있는 플러드 기반 공격입니다. L3-4 공격은 일반적으로 UDP 스푸핑 트래픽입니다.
• 비대칭 - 일방적 또는 상태 비저장 UDP 트래픽입니다.
• 계산적 공격—일반적으로 TCP를 통한 L7에서 CPU와 메모리를 소모하도록 설계된 공격입니다.
• 취약점 기반 공격 - 소프트웨어 취약점을 악용하는 공격입니다.

이러한 다양한 범주에 대처하기 위해 방어 메커니즘이 발전했으며, 유명 기관들은 보안 태세를 극대화하기 위해 특정한 방식으로 방어 메커니즘을 배치하는 방법을 배웠습니다. F5는 이들 회사와 협력하고 구성 요소를 미세 조정하여 특정 데이터 센터 규모와 업계 요구 사항을 수용할 수 있는 권장되는 DDoS 완화 아키텍처를 개발했습니다.

다음 DDoS 보호 참조 아키텍처는 잘 알려진 업계 구성 요소를 기반으로 구축되었습니다. 일부는 다른 공급업체나 판매업체가 제공할 수도 있지만, 일부는 특정 F5 구성 요소입니다.

그림 1은 DDoS 아키텍처 구성 요소를 완화하는 4가지 DDoS 공격 유형에 매핑합니다.

그림 1 : DDoS 완화 구성 요소를 공격 유형에 매핑

클라우드 기반 DDoS 스크러빙 서비스는 모든 DDoS 완화 아키텍처의 중요한 구성 요소입니다. 공격자가 조직의 1Gbps 유입 지점에 50Gbps의 데이터를 보내는 경우, 아무리 온프레미스 장비를 사용해도 그 문제는 해결되지 않습니다. 진정한 퍼블릭 클라우드나 조직의 대역폭 서비스 공급자 내에서 호스팅되는 클라우드 서비스는 명백히 나쁜 것과 좋은 것 중 하나를 골라내어 문제를 해결합니다.

네트워크 방화벽은 오랫동안 경계 보안의 초석이었습니다. 그러나 많은 네트워크 방화벽은 DDoS 공격에 전혀 저항하지 못합니다. 실제로, 가장 많이 팔리는 방화벽 중 다수는 가장 간단한 4계층 공격으로도 비활성화될 수 있습니다. 방화벽이 공격을 인식하고 완화하지 못하면, 처리량만으로는 해결책이 될 수 없습니다.

3계층 및 4계층 기반 보안 제어 장치의 경우 F5는 설계자에게 대용량 DDoS 인식 네트워크 방화벽을 선택할 것을 권장합니다. 구체적으로, 설계자는 수백만 개(수천 개가 아님)의 동시 연결을 지원하고 합법적인 트래픽에 영향을 주지 않고 다양한 공격(예: SYN 플러드)을 격퇴할 수 있어야 합니다.

애플리케이션 전송 컨트롤러(ADC)는 네트워크에서 전략적 제어 지점을 제공합니다. 적절하게 선택하고, 준비하고, 제어하면 DDoS 방어를 크게 강화할 수 있습니다. 예를 들어, F5 ADC의 전체 프록시 특성은 HTTP 및 DNS와 같은 일반적인 프로토콜을 검증하여 계산 및 취약성 기반 위협을 줄여줍니다. 이러한 이유로 F5는 풀 프록시 ADC를 권장합니다.

웹 애플리케이션 방화벽은 애플리케이션의 보안 정책을 이해하고 시행하는 상위 수준의 구성 요소입니다. 이 구성 요소는 볼륨형 HTTP 플러드이든 취약성 기반 공격이든 애플리케이션 계층 공격을 감지하고 완화할 수 있습니다. 여러 공급업체가 웹 애플리케이션 방화벽을 제공합니다. 그러나 효과적인 DDoS 아키텍처의 경우 F5는 다음과 같은 이유로 자체 웹 애플리케이션 방화벽 모듈만 권장합니다.

• F5 웹 애플리케이션 방화벽은 해킹 방지, 웹 스크래핑 보호, PCI 규정 준수와 같은 추가 서비스를 제공할 수 있습니다.
• F5 고객은 ADC와 웹 애플리케이션 방화벽을 함께 사용하여 애플리케이션 전송과 애플리케이션 보안 정책을 동시에 적용할 수 있는 이점을 누리게 됩니다.
• F5 ADC는 SSL 트래픽을 오프로드하고 검사합니다. 웹 애플리케이션 방화벽과 결합하면 고객은 하나의 장치에서 암호화된 페이로드의 SSL 종료와 보안 분석을 통합할 수 있습니다.

침입 탐지 및 방지 시스템(IDS/IPS)은 DDoS 완화에 중요한 역할을 할 수 있습니다. F5에서는 IDS/IPS 기능을 단일 위치(예: 4계층 방화벽에 통합)에만 배포 하지 않는 것이 좋다고 권장합니다. 오히려 IDS/IPS는 데이터베이스나 특정 웹 서버와 같이 특정한 추가 보호가 필요할 수 있는 백엔드 구성요소의 앞부분에 전략적으로 배치되어야 합니다. IPS는 웹 애플리케이션 방화벽을 대체할 수 없습니다. 인프라와 애플리케이션을 보호하는 것은 양파 껍질을 벗기는 것과 같습니다. IPS는 최상위 계층(프로토콜)에서 공격을 차단하도록 설계된 반면, WAF는 하위 계층(애플리케이션)에서 보호를 위해 설계되었습니다.

IP 평판 데이터베이스는 DDoS 공격자가 알려진 스캐너를 사용하여 애플리케이션을 조사하여 추후 악용 및 침투하는 것을 방지하여 비대칭 서비스 거부 공격으로부터 방어하는 데 도움이 됩니다. IP 평판 데이터베이스는 내부적으로 생성되거나 외부 구독 서비스에서 제공될 수 있습니다.  F5 IP 평판 솔루션은 오픈소스 인텔리전스(OSINT), F5 데이터 및 타사 피드를 결합하여 악성 도메인에 대한 광범위한 적용 범위를 제공합니다.

F5는 하이브리드 클라우드/온프레미스 DDoS 솔루션을 권장합니다. F5 Silverline DDoS 보호는 F5 Silverline 클라우드 기반 플랫폼을 통해 제공되는 서비스로, 볼륨형 공격을 완화할 수 있습니다. Silverline DDoS Protection은 대량의 공격 트래픽을 분석하여 제거합니다.

때로는 DDoS 캠페인에 사내에서 처리해야 하는 애플리케이션 계층 공격이 포함될 수 있습니다. 이러한 비대칭적이고 계산적인 공격은 네트워크 방어 및 애플리케이션 방어 계층을 사용하여 완화할 수 있습니다. 네트워크 방어 계층은 L3 및 L4 네트워크 방화벽 서비스와 애플리케이션 방어 계층에 대한 간단한 로드 밸런싱으로 구성됩니다. 애플리케이션 방어 계층은 SSL 종료 및 웹 애플리케이션 방화벽 스택을 포함한 보다 정교한(그리고 CPU를 많이 사용하는) 서비스로 구성됩니다.

DDoS 보호 아키텍처의 온프레미스 부분에서 네트워크 방어와 애플리케이션 방어를 분리하면 많은 이점이 있습니다.

• 네트워크 및 애플리케이션 방어 계층은 서로 독립적으로 확장될 수 있습니다. 예를 들어, 웹 애플리케이션 방화벽 사용이 늘어나면 네트워크 계층에 영향을 주지 않고 다른 어플라이언스(또는 블레이드)를 애플리케이션 계층에 추가할 수 있습니다.
• 네트워크 및 애플리케이션 방어 계층은 다양한 하드웨어 플랫폼과 심지어 다양한 소프트웨어 버전을 사용할 수 있습니다.
• 애플리케이션 방어 계층에 새로운 정책이 적용되면 네트워크 방어 계층은 정책이 완전히 검증될 때까지 일부 트래픽만을 새로운 정책으로 유도할 수 있습니다.

그림 3은 특정 기능을 제공하는 데 필요한 구성요소를 보여줍니다. DDoS 보호 참조 아키텍처의 F5 구성 요소는 다음과 같습니다.

• Silverline DDoS 보호
• BIG-IP® AFM™ (AFM)
• BIG-IP® 로컬 트래픽 관리자™(LTM)
• DNS Express™를 갖춘 BIG-IP® DNS™
• BIG-IP® 고급 웹 애플리케이션 방화벽™(고급 WAF)

그림 3: F5 구성 요소를 DDoS 완화 기능에 매핑

다중 계층 아키텍처는 고대역폭 환경에서 선호되지만, F5는 많은 고객에게 낮은 대역폭 환경에서 여러 DDoS 계층을 구축하는 것은 과도할 수 있다는 점을 알고 있습니다. 이러한 고객은 네트워크 및 웹 애플리케이션 방화벽 서비스와 애플리케이션 전송을 통합하는 DDoS 완화 경계 장치를 배포하고 있습니다.

여기에 권장되는 사례는 여전히 적용됩니다. 네트워크 및 애플리케이션 방어 계층에 대한 참조는 대체 아키텍처의 단일 통합 계층에만 적용될 수 있습니다.

조직은 인터넷에 연결된 유입 대역폭 용량을 압도할 수 있는 대규모 볼륨형 DDoS 공격을 경험할 위험에 처해 있습니다. 이러한 공격을 방어하기 위해 악성 트래픽을 제거하고 정상으로 제거된 트래픽을 조직의 원래 데이터 센터로 다시 보낼 수 있는 고대역폭 데이터 센터로 들어오는 트래픽을 전송하기 위해 경로 변경(BGP 경로 발표 포함)을 실행할 수 있습니다. 

클라우드 DDoS 공급자를 선택하는 데 영향을 줄 수 있는 요인으로는 스크러빙 시설의 지리적 위치, 대역폭 용량, 지연 시간, 완화 시간, 솔루션 가치 등이 있습니다. 그림 4에서 알 수 있듯이 DDoS 공격은 수백 Gbps에 달하는 대역폭을 소모할 수 있으며, 이로 인해 인프라가 완전히 과부하될 위험이 있습니다.

어떤 경우에는 클라우드 스크러버가 조직의 데이터 센터 근처에 스크러빙 센터를 갖고 있지 않을 경우 들어오는 요청에 추가 시간이 추가될 수 있습니다. 잠재적인 지연 시간을 줄이기 위해 MSP와 기타 글로벌 기업은 공격으로 인해 영향을 받을 수 있는 운영 지역에 전략적으로 배치된 클라우드 스크러버를 활용해야 합니다.

볼륨형 공격에 대한 가용성을 유지하려면 글로벌 범위(북미, 유럽, 아시아에 있는 데이터 센터)와 테라비트 규모의 글로벌 용량(센터당 수백 기가비트)이 모두 필요합니다.

기업들은 클라우드 스크러버의 진정한 가치는 공격 캠페인이 진행된 후에야 실현된다고 말할 것입니다. 만족도를 결정하는 질문은 다음과 같습니다.

• 비싼가요?
• 거짓 양성의 수준은 어땠나요?
• 합법적인 트래픽 전달에 대한 가시성과 제어력이 있었는가?

조직에서는 Silverline DDoS Protection Always Available 구독을 사용하여 DDoS 공격이 감지되면 F5 Silverline을 통해 트래픽을 라우팅할 수 있습니다. 또는 Silverline DDoS Protection Always On 구독은 조직의 네트워크와 애플리케이션의 가용성을 높이기 위해 항상 F5 Silverline을 통해 트래픽을 라우팅할 수 있습니다.

Silverline DDoS Protection에는 라우팅 모드와 프록시 모드의 두 가지 주요 배포 모델이 있습니다.

라우팅 모드는 전체 네트워크 인프라를 보호해야 하는 기업을 위한 것입니다. Silverline DDoS Protection은 BGP(Border Gateway Protocol)를 사용하여 모든 트래픽을 스크러빙 및 보호 센터로 라우팅하고, GRE(Generic Routing Encapsulation) 터널/L2 VPN/Equinix Cloud Exchange를 활용하여 안전한 트래픽을 원래 네트워크로 다시 보냅니다. 라우팅 모드는 대규모 네트워크를 구축한 기업을 위해 확장 가능한 디자인입니다. 특정 애플리케이션에 대한 구성이 필요하지 않으며 Silverline DDoS 보호를 켜거나 끄는 쉬운 옵션을 제공합니다.

프록시 모드는 볼륨형 DDoS 공격으로부터 애플리케이션을 보호해야 하지만 공용 클래스 C 네트워크가 없는 기업을 위한 것입니다. DNS는 모든 트래픽을 F5 Silverline 스크러빙 센터로 라우팅하는 데 사용됩니다. 정상 트래픽은 공개 인터넷을 통해 애플리케이션 원본 서버로 전송됩니다.

Silverline DDoS Protection에서 사용하는 반환 트래픽 방법은 다음과 같습니다.

• GRE 터널.
• 에퀴닉스 클라우드 거래소.
• L2 VPN.
• 공공 인터넷.

그림 4는 2019~2020년에 세계 최대 규모의 DDoS 공격에 대한 기록이 여러 번 깨졌다는 것을 보여줍니다. 이러한 대역폭 소비에 도달하기 위해 이러한 공격은 의도한 피해자에게 전송된 수천 개의 무의식적인 공개 인터넷 게시물에서 발생하는 TCP 이상, UDP 조각화 및 CLDAP 반사와 함께 플러드 공격(예: ACK, NTP, RESET, SSDP, SYN 및 UDP)을 조합하여 사용했습니다. 

네트워크 방어 계층은 네트워크 방화벽을 중심으로 구축됩니다. SYN 플러드나 ICMP 조각화 플러드와 같은 계산적 공격을 완화하도록 설계되었습니다. 이 계층은 또한 유입 지점의 혼잡(일반적으로 정격 파이프 크기의 80~90%)까지의 체적 공격을 완화합니다. 많은 조직이 이 계층에 IP 평판 데이터베이스를 통합하고 DDoS 공격 시 소스별로 IP 주소를 제어합니다.

일부 조직에서는 DNS를 첫 번째 계층을 거쳐 DMZ에 있는 DNS 서버로 전달합니다. 이러한 구성에서는 올바른 계층 4 제어 기능을 통해 DNS 패킷을 서버로 보내기 전에 유효성을 검사할 수 있습니다.

가상화를 우선시하는 전략을 갖춘 조직의 경우, 특수 목적으로 구축된 하드웨어 없이 가상화된 인프라를 표적으로 하는 DDoS 공격을 완화하는 것은 어려울 수 있습니다. x86 COTS 서버에서 실행되는 가상화 보안 솔루션은 맞춤형 어플라이언스의 고성능 속성이 부족한 경우가 많아 많은 경우 효과적인 소프트웨어 중심 DDoS 완화가 사실상 불가능합니다.

이러한 과제에 대한 F5 솔루션은 SmartNIC라고 알려진 차세대 네트워크 인터페이스 카드(NIC)를 활용하여 BIG-IP AFM 가상 에디션(VE) 솔루션을 강화합니다. F5는 이러한 SmartNIC에 내장된 고성능 FPGA를 프로그래밍하여 DDoS 공격이 BIG-IP VE와 애플리케이션 서버에 도달하기 전에 이를 탐지하고 차단함으로써 앱을 온라인 상태로 유지하기 위한 비슷한 소프트웨어 전용 솔루션보다 최대 300배 더 큰 공격을 차단할 수 있습니다. BIG-IP AFM VE에서 SmartNIC으로 DDoS 완화 작업을 오프로드하면 VE CPU 사이클을 다른 보안 기능(예: WAF 또는 SSL)을 최적화하는 데 사용할 수 있을 뿐만 아니라 TCO도 최대 47%까지 절감할 수 있습니다.

4계층 공격인 TCP 연결 플러드는 네트워크상의 모든 상태 저장 장치, 특히 DDoS에 대한 저항력이 없는 방화벽에 영향을 미칠 수 있습니다. 이 공격은 각 상태 장치의 플로우 연결 테이블의 메모리를 소모하도록 설계되었습니다. 이런 연결 홍수에는 실제 내용이 없는 경우가 많습니다. 이러한 문제는 네트워크 계층의 대용량 연결 테이블에 흡수되거나 전체 프록시 방화벽을 통해 완화될 수 있습니다.

SSL 연결 플러드는 암호화된 트래픽을 종료하는 장치를 공격하도록 특별히 설계되었습니다. 유지해야 하는 암호화 컨텍스트로 인해 각 SSL 연결은 50,000~100,000바이트의 메모리를 사용할 수 있습니다. 이로 인해 SSL 공격이 특히 고통스러워집니다.

F5는 TCP 및 SSL 연결 플러드를 완화하기 위해 용량 프록시 기술과 전체 프록시 기술을 모두 권장합니다. 그림 7은 F5 기반 네트워크 방화벽의 연결 용량을 보여줍니다.

그림 7: F5 하드웨어 플랫폼의 연결 용량

애플리케이션 방어 계층은 F5 iRules를 사용하여 로그인 월, 웹 애플리케이션 방화벽 정책, 동적 보안 컨텍스트와 같은 애플리케이션 인식, CPU 집약적 방어 메커니즘을 배포할 것을 F5에서 권장하는 계층입니다. 이러한 구성 요소는 종종 이 계층의 대상 IDS/IPS 장치와 랙 공간을 공유합니다.

SSL 종료는 일반적으로 이곳에서 이루어집니다. 일부 조직에서는 네트워크 방어 계층에서 SSL을 종료하지만, SSL 키의 민감성과 이를 보안 경계에서 보관하는 정책으로 인해 이러한 방식은 흔하지 않습니다.

재귀적 GET과 POST는 오늘날 가장 악성적인 공격 중 하나입니다. 이를 합법적인 트래픽과 구별하는 것은 매우 어려울 수 있습니다. GET 플러드는 데이터베이스와 서버를 과부하시킬 수 있으며 "역방향 풀 파이프"를 일으킬 수도 있습니다. F5는 한 공격자가 대상에 100Mbps의 GET 쿼리를 전송하고 20Gbps의 데이터를 가져오는 것을 기록했습니다.

GET 홍수에 대한 완화 전략은 다음과 같습니다.

• 로그인 장벽 방어.
• DDoS 보호 프로필.
• 실제 브라우저 적용.
• 캡차.
• 요청 제한 iRules.
• 사용자 정의 iRules.

이러한 전략에 대한 구성 및 설정은 F5 DDoS 권장 사례 문서에서 확인할 수 있습니다.

DNS는 HTTP에 이어 두 번째로 가장 많이 타겟팅된 서비스입니다. DNS가 중단되면 모든 외부 데이터 센터 서비스(단일 애플리케이션뿐만 아니라)가 영향을 받습니다. 이러한 단일 실패 지점과 종종 부족한 DNS 인프라로 인해 DNS는 공격자에게 매력적인 표적이 됩니다.

DNS 서비스는 역사적으로 공급이 부족했습니다. DNS 배포의 상당수는 소규모에서 중규모 DDoS 공격에도 견딜 수 없을 정도로 프로비저닝이 부족합니다.

DNS 캐시는 DNS 서비스의 체감된 성능은 높이고 표준 DNS 쿼리 공격에 대한 회복력을 제공할 수 있기 때문에 인기를 얻었습니다. 공격자는 "해당 도메인 없음"(또는 NXDOMAIN) 공격이라고 하는 공격으로 전환했는데, 이는 캐시에서 제공하는 성능 이점을 빠르게 소모합니다.

이를 해결하기 위해 F5는 BIG-IP DNS 도메인 이름 서비스를 F5 DNS Express™라는 특수한 고성능 DNS 프록시 모듈로 프런트엔드하는 것을 권장합니다. DNS Express는 기존 DNS 서버 앞에서 절대적 확인자 역할을 합니다. 서버에서 영역 정보를 로드하고 모든 요청을 해결하거나 NXDOMAIN을 반환합니다. 이는 캐시가 아니며 NXDOMAIN 쿼리 플러드를 통해 비울 수 없습니다.

DNS 서비스는 종종 첫 번째 보안 경계와 분리된 별도의 장치 세트로 존재합니다. 이는 DNS를 서비스하는 애플리케이션과 독립적으로 유지하기 위해 수행됩니다. 예를 들어, 보안 경계의 일부가 작동하지 않으면 DNS는 요청을 보조 데이터 센터나 클라우드로 리디렉션할 수 있습니다. DNS를 보안 및 애플리케이션 계층에서 분리하는 것은 최대한의 유연성과 가용성을 유지하는 효과적인 전략이 될 수 있습니다.

여러 개의 데이터 센터를 보유한 일부 대규모 기업은 BIG-IP DNS와 DNS Express, BIG-IP AFM 방화벽 모듈을 함께 사용하여 주요 보안 경계 외부의 DNS를 서비스합니다. 이 접근 방식의 주요 이점은 DDoS로 인해 네트워크 방어 계층이 오프라인이 되어도 DNS 서비스는 계속 사용할 수 있다는 것입니다.

DNS가 DMZ 내부에서 제공되는지 외부에서 제공되는지 여부에 관계없이 BIG-IP DNS나 BIG-IP AFM은 DNS 서버에 도달하기 전에 DNS 요청을 검증할 수 있습니다.

다음은 세 가지 일반적인 고객 시나리오에 매핑되는 참조 아키텍처의 세 가지 사용 사례입니다.

1. 관리 서비스 제공자(모바일 또는 유선)
2. 대형 금융 서비스 기관(FSI) 데이터 센터
3. 기업 데이터 센터

아래의 각 사용 사례에는 배포 시나리오 다이어그램, 사용 사례의 세부 사항에 대한 간략한 설명, 해당 시나리오 내에서 권장되는 F5 구성 요소가 포함되어 있습니다. 추가 크기 정보는 그림 14를 참조하세요.

MSP 데이터 센터 사용 사례는 다양한 애플리케이션에 보안을 제공하는 동시에 데이터 센터 리소스의 가치를 극대화하는 것입니다. MSP에게는 투자 수익률(ROI)이 매우 중요합니다. MSP는 가능하다면 모든 작업을 하나의 기기에서 처리하고 DDoS 공격이 발생하는 동안에는 오프라인이 되는 것도 기꺼이 하기 때문입니다.

이러한 사용 사례에서 MSP는 모든 달걀을 하나의 바구니에 담고 있습니다. 가장 비용 효율적인 솔루션을 얻을 수 있지만 가장 큰 가용성 과제도 안게 될 것입니다.

반면, 조직은 깊은 지식을 갖춘 전문 리소스를 단일 플랫폼에 집중시킴으로써 효율성을 얻습니다. F5는 고가용성 시스템, 탁월한 확장성과 성능, 그리고 세계적 수준의 지원을 제공하여 위험을 더욱 상쇄하는 데 도움이 됩니다.

확실히, 재정적 절감은 이 통합 아키텍처의 가장 큰 이점입니다. 우수한 DDoS 솔루션은 이미 작동 중인 장비를 사용하여 매일 수익을 창출하는 애플리케이션을 제공합니다. 통합된 환경은 랙 공간, 전력 및 관리 비용을 절감하는 데 도움이 됩니다.

그림 9: MSP 배포 시나리오에 대한 크기 권장 사항

대규모 FSI 데이터 센터 시나리오는 DDoS 보호에 대한 성숙되고 널리 알려진 사용 사례입니다. 일반적으로 FSI는 여러 서비스 공급자를 보유하지만 다른 스크러빙 서비스를 선호하여 해당 공급자의 볼륨형 DDoS 제공을 포기할 수 있습니다. 이들 중 다수는 볼륨 DDoS 공격을 완화하는 기본 클라우드 스크러버의 실패에 대비한 보험 정책으로 백업 클라우드 스크러버를 보유하고 있을 수도 있습니다.

FSI 데이터 센터에는 기업 직원이 거의 없으므로 차세대 방화벽이 필요하지 않습니다.

FSI는 연방 군사 기관을 제외하면 가장 엄격한 보안 정책을 갖고 있습니다. 예를 들어, 거의 모든 FSI는 전체 데이터 센터에 걸쳐 페이로드를 암호화해야 합니다. FSI는 인터넷에서 가장 높은 가치의 자산(은행 계좌)을 보유하고 있기 때문에 DDoS 공격뿐만 아니라 해킹의 표적이 되는 경우가 많습니다. 2계층 온프레미스 아키텍처를 통해 FSI 조직은 네트워크 계층에 대한 투자와 관계없이 애플리케이션 계층에서 CPU를 많이 사용하는 포괄적 보안 정책을 확장할 수 있습니다.

이 사용 사례를 통해 FSI는 이미 보유한 보안 장비를 유지(실제로 활용)하면서 DDoS 방지 솔루션을 만들 수 있습니다. 네트워크 방어 계층의 방화벽은 계속해서 역할을 수행하고 애플리케이션 방어 계층의 BIG-IP 장비는 침해를 계속 방지합니다.

그림 11: FSI 배포 시나리오에 대한 크기 권장 사항

기업의 DDoS 방어 시나리오는 대규모 FSI 시나리오와 유사합니다. 가장 큰 차이점은 기업이 데이터 센터 내부에 직원을 두고 있기 때문에 차세대 방화벽(NGFW) 서비스가 필요하다는 것입니다. 그들은 유입과 유출 모두에 단일 NGFW를 사용하고 싶어할 수 있지만, NGFW는 진화하거나 다중 벡터인 DDoS 공격을 처리하도록 설계되지 않았기 때문에 DDoS 공격에 취약해질 수 있습니다.

F5는 기업이 F5 Silverline과 같은 클라우드 스크러버를 통해 대규모 DDoS 공격으로부터 보호를 받을 것을 권장합니다. 구내에서 권장되는 엔터프라이즈 아키텍처에는 유입 애플리케이션 트래픽과 별도의 경로에 더 작은 NGFW가 포함됩니다. 네트워크 방어 계층과 애플리케이션 방어 계층을 사용하면 기업은 비대칭적 확장을 활용할 수 있습니다. 즉, CPU가 프리미엄이라고 판단되면 더 많은 F5 WAF 장치를 추가할 수 있습니다.

다양한 업종과 회사의 요구 사항이 다릅니다. 두 계층 모두에서 F5 장비를 사용함으로써 엔터프라이즈 아키텍처는 고객이 SSL 트래픽을 해독(그리고 선택적으로 재암호화)하는 것이 가장 합리적인 위치를 결정할 수 있도록 해줍니다. 예를 들어, 기업은 네트워크 방어 계층에서 SSL을 해독하고, 해독된 트래픽을 고급 위협을 모니터링하는 네트워크 탭으로 미러링할 수 있습니다.

그림 13: 기업 고객 배포 시나리오에 대한 크기 권장 사항

그림 14는 조직의 확장 요구 사항을 충족하는 데 사용할 수 있는 F5 하드웨어 장치 범위에 대한 사양을 보여줍니다.

그림 14: DDoS 보호를 위한 F5 하드웨어 사양. 구체적인 권장 사항은 사용 사례를 참조하세요.

이 권장 DDoS 보호 참조 아키텍처는 F5가 고객과 함께 DDoS 공격을 방어한 오랜 경험을 바탕으로 만들어졌습니다. 서비스 제공자는 통합된 접근 방식으로 성공을 거두고 있습니다. 글로벌 금융 서비스 기관에서는 권장되는 하이브리드 아키텍처가 모든 보안 제어에 이상적인 배치라는 점을 인식하고 있습니다. 기업 고객 역시 이 아키텍처를 기반으로 보안 제어를 재배치하고 재구성하고 있습니다. 예측 가능한 미래에는 하이브리드 DDoS 보호 아키텍처가 아키텍트가 최신 DDoS 위협에 맞서기 위해 필요한 유연성과 관리 용이성을 계속 제공할 것입니다.