DDoS Oracle Cloud Infrastructure를 위한 보호 설계
선택할 수 있는 설계 옵션이 많지만 대부분의 설계에 대한 일반적인 요인은 다음과 같아야 합니다.
- 비즈니스 보안 표준에 맞춰 조정
- 포괄적인 보안
- 심층 방어 모델 따르기
- 편리한 관리
- 확장 가능
OCI DDoS 보호 서비스의 주요 목적은 조직의 DDoS 요구사항을 충족하는 안전하고 확장 가능한 솔루션을 제공하는 동시에 운영, 스테이징, 개발, 품질 보증, 재해 복구 등 여러 환경 계층을 지원하는 것입니다. 또한 OCI DDoS 보호 서비스는 WAF(Web Application Firewalls)와 같은 OCI 클라우드 전용 구성요소를 활용하여 심층 방어 보안 모델을 통해 고가용성 및 확장성을 갖춘 아키텍처를 구축할 수 있도록 지원합니다. NLB(네트워크 로드 밸런서), FLB(Flexible Load Balancers), DDoS이 사용으로 설정된 타사 NGFW(Next Generation Firewalls) 및 각 설계에 대해 연관된 이점 및 고려 사항과 함께 TLS/SSL 인증서가 제공됩니다.
설계 옵션 1: 웹 애플리케이션 방화벽 및 단일 네트워크 로드 밸런서
이 설계에서 TLS 인증서는 WAF, NGFW, 전용 FLB 및 HTTP/S 흐름용 백엔드 서버에서 사용됩니다. HTTP/S 흐름은 항상 OCI WAF 에지에서 수신되며 점차적으로 NLB를 거쳐 NGFW, 마지막으로 전용 FLB를 차례로 수행합니다. 이 접근 방식에는 각 환경 계층에 대해 여러 WAF 정책(예: 운용, QA 및 DR)이 필요하며 단일 NLB, 단일 FLB 및 해당 백엔드 집합으로 HTTP/S 트래픽을 전달합니다.
참고:
모든 비HTTP/S 플로우의 경우 플로우는 항상 NLB를 통해 수신되고, OCI WAF, NGFW 및 마지막으로 전용 NLB를 우회합니다. 이를 통해 영역 기반 레벨에서 방화벽 DDoS를 구현하거나 전역 레벨에서 계층 3 및 계층 4 공격에 집중할 수 있습니다.다음 다이어그램에는 이 아키텍처가 설명되어 있습니다.
단일 네트워크 lb-ngfw-architecture.zip
OCI 에지를 통해 트래픽이 수신되면 OCI WAF 에지 정책이 TLS/SSL 종료를 수행합니다. 그런 다음 패킷이 해독되어 특정 포트의 원점으로 트래픽을 전송하기 전에 악의적인 WAF 계층 7 페이로드를 검사할 수 있습니다. 기본적으로 443/TCP이며 특정 포트에서 전달하도록 구성할 수 있습니다.
OCI WAF의 원본은 트래픽을 단일 NLB로 전달하도록 구성된 다음 지정된 TCP 포트에 대해 타사 NGFW 컴퓨트 인스턴스로 트래픽을 전달합니다. 예를 들어 위 다이어그램에서 OCI WAF 에지의 녹색 및 파란색 트래픽 흐름은 특정 포트(각각 4443/TCP 및 4444/TCP)의 원본(NLB 리스너 IP 주소)으로 전송됩니다. 그런 다음 NLB는 동일한 TCP 포트의 백엔드 세트(NGFW)로 트래픽을 전달하도록 구성됩니다.
NLB는 계층 3과 4에서 작동하며 공용 서브넷에 배치됩니다. 일반적으로 NLB는 클라이언트 소스 IP 주소를 보존하도록 구성됩니다. OCI WAF를 통한 트래픽 수신은 OCI WAF 서비스 전용으로 문서화된 OCI WAF CIDR을 사용하여 프록시됩니다. 트래픽은 문서화된 OCI WAF CIDR 목록에서 프록시되므로 보안 목록 및/또는 NSG를 활용하여 적합하고 신뢰할 수 있는 OCI WAF CIDR 목록으로 연결을 제한하여 추가 보안 계층을 추가할 수 있습니다. 이는 또한 NLB 서브넷 플로우 로그 및 타사 NGFW 트래픽 로그가 OCI WAF CIDR 범위의 IP 주소만 소스 IP로 표시됨을 의미합니다.
이 설계는 NLB를 사용하는 활성/활성 방화벽을 활용하므로 타사 방화벽은 트래픽을 전용 FLB로 전달하기 전에 source-NAT를 수행하여 반환 트래픽에 대한 대칭 경로를 유지해야 합니다. NGFW는 목적지가 전용 FLB이므로 목적지 NAT를 수행해야 합니다.
NGFW가 해독 및 검사를 지원한다고 가정하면 트래픽을 해독하여 NGFW의 암호화되지 않은 페이로드에서 IDS/IPS를 수행할 수 있습니다. 그런 다음 트래픽을 지정된 FLB로 전달합니다.
제공된 요구사항과 위에 설명된 설계 옵션을 고려하여 이 배치에 대해 다음과 같은 최적의 방법을 결정할 수 있습니다.
- 각 환경 계층(운용, 개발 및 QA)에 대해 별도의 WAF 정책이 적용됩니다.
- 단일 NLB(네트워크 로드 밸런서)를 사용합니다.
- 여러 환경 계층에 대해 동일한 백엔드 NGFW를 재사용합니다.
- 심층 방어 아키텍처를 설계합니다.
- 전체 환경을 보호합니다.
- Oracle Cloud로 들어오는 온프레미스의 공격을 완화하고 제어할 수 있습니다.
- 조직 제어를 통해 레이어 3 및 레이어 4 DDoS 보호 기능을 제공합니다.
- Oracle의 오퍼링을 보완하기 위해 사용자 제어를 사용하여 방화벽 계층에 DDoS를 구성합니다.
설계 옵션 2: 웹 애플리케이션 방화벽 및 다중 네트워크 로드 밸런서
이 설계에서 기술, 구성 요소 및 데이터 흐름은 이전 설계와 동일하게 유지됩니다. 트래픽이 OCI 에지를 통해 수신되면 NLB, NGFW 및 궁극적으로 전용 ALB로 전송되기 전에 악의적인 WAF 계층 7 페이로드에 대한 OCI WAF 에지 정책에 의해 처리 및 검사됩니다. 마찬가지로 모든 비HTTP/S 흐름은 항상 NLB를 통해 수신되며 OCI WAF 및 NGFW를 건너뛰고 마지막으로 전용 NLB를 통과합니다. 이를 통해 영역 기반 레벨에서 방화벽 DDoS를 구현하거나 전역 레벨에서 계층 3 및 계층 4 공격에 집중할 수 있습니다.
옵션 2 설계의 주요 차이점은 환경 계층(운영, 개발 및 QA)별로 여러 NLB를 활용하여 환경 트래픽을 분리하는 것입니다. 옵션 2에서 각 NLB는 트래픽 전달을 위한 백엔드 세트로 NGFW의 고유한 보조 IP 주소를 사용합니다. 트래픽은 궁극적으로 지정된 애플리케이션 또는 서비스에 대해 지정된 FLB로 이동합니다. 이 설계는 단일 NLB를 사용하여 50개 이상의 리스너 제한을 넘어 확장할 수 있는 기능도 소개합니다. 또한 이 설계를 통해 NLB 리스너 포트를 재사용하여 각 환경 계층(운용, 개발 및 QA)에 대한 트래픽 흐름을 표준화할 수 있습니다.
다음 다이어그램에는 이 아키텍처가 설명되어 있습니다.
