1. Oracle Cloud Infrastructure상에서 Layer 3 및 4 DDoS 예방을 배포하는 방법 알아보기
  2. DDoS 계층 이해

DDoS 계층 이해

OCI 서비스는 다양한 DDoS 계층에 대해 DDoS 공격 감지 및 완화를 제공합니다. DDoS 솔루션을 설계하기 전에 OCI가 제공하는 DDoS 계층 및 예방 서비스를 검토하십시오.

네트워크 전송 계층(3 및 4) 보호(TCP, UDP, ICMP)

오늘날 모든 Oracle Cloud 데이터 센터는 대용량 계층 3 또는 4 DDoS 공격에 대한 DDoS 공격 감지 및 완화를 제공합니다. Oracle Cloud의 이러한 DDoS 보호 서비스는 지속적인 계층 3 또는 4 공격에서도 Oracle 네트워크 리소스의 가용성을 보장합니다.

애플리케이션 계층(7) 보호(HTTP/HTTPS)

취약성과 잘못된 구성을 활용하는 계층 7 공격(HTTP/HTTPS) 대상 애플리케이션. 이러한 공격의 규모와 정교함은 기하급수적으로 증가하고 있습니다. 따라서 악의적인 봇, 교차 사이트 스크립팅, SQL 주입 및 OWASP(Open Web Application Security Project)에서 정의한 기타 취약성을 비롯한 사이버 위협으로부터 애플리케이션을 보호하는 것이 중요합니다.

Oracle DDoS 보호 정보

DDoS OCI의 보호 서비스는 네트워크 기반 공격(OSI 모델의 계층 3 및 4) 또는 많은 사람들이 볼륨 기반 공격으로 생각하는 공격에 적용됩니다. Oracle은 모든 Oracle Cloud 고객을 위한 BYOIP(Bring Your IP Address)를 포함한 전체 주소 공간을 모니터링합니다. 대용량 기반 공격을 발견하면 악의적인 트래픽을 경감하고 스크러빙하는 도구와 프로세스가 제공됩니다. Oracle은 OCI 고객을 위해 이러한 보호를 완벽하게 관리하고 있습니다.

DNS 기반 공격은 UDP 프로토콜의 일부로 전송 계층에 존재하므로 일반적으로 발생하며 여러 방법을 통해 공격할 수 있습니다. 이러한 공격을 감지하고 완화하기 위해 DNS 서비스는 공용 DNS 서비스를 지원하기 위해 네트워크 로드 밸런서 뒤의 고객 소유 엔티티로 OCI에 배치할 수 있습니다.

OCI DNS는 다양한 대륙에 전략적으로 위치한 여러 데이터 센터의 글로벌 애니캐스트 네트워크이므로, 중복 인터넷 중계 제공업체의 조합을 사용하여 DDoS 공격으로부터 최고의 복원성과 보호를 제공합니다.

DDoS 공격 유형 및 완화 방법은 아래 다이어그램에 요약되어 있습니다.


다음은 ddos-attack-types-and-oci-mitigations.png에 대한 설명입니다.
그림 ddos-attack-types-and-oci-mitigations.png에 대한 설명

OCI DDoS 예방 서비스의 기능 이해

OCI DDoS 방지를 위해 다음 서비스가 필요합니다.

  • WAF(Web Application Firewalls) - Oracle Cloud Infrastructure WAF(Web Application Firewall)는 지역 기반의 에지 적용 서비스로, 로드 밸런서 또는 웹 애플리케이션 도메인 이름과 같은 적용 지점에 연결됩니다. WAF는 악성 및 원치 않는 인터넷 트래픽으로부터 애플리케이션을 보호합니다. WAF는 인터넷에 접속하는 모든 끝점을 보호할 수 있으며 고객 애플리케이션 전반에 걸쳐 일관된 규칙을 적용합니다.

    OCI WAF 솔루션에는 WAF 에지 정책 및 WAF 방화벽 정책의 두 가지 유형이 있습니다. WAF 에지 정책은 에지에서 정책을 적용하는 데 사용되는 반면 WAF 방화벽 정책은 ALB(애플리케이션 로드 밸런서)와 연관됩니다. WAF Edge는 조직의 VCN을 입력하기 전에 WAF 정책을 적용합니다.

  • 네트워크 로드 밸런서(NLB) - Oracle Cloud Infrastructure 가변 네트워크 로드 밸런싱 서비스(네트워크 로드 밸런서)는 VCN(가상 클라우드 네트워크)의 한 시작점에서 여러 백엔드 서버로 자동화된 트래픽 분산을 제공합니다. 연결 레벨에서 작동하며 계층 3 및 계층 4(IP 프로토콜) 데이터를 기반으로 수신 클라이언트 연결을 정상 백엔드 서버로 로드 밸런싱합니다. 이 서비스는 탄력적으로 확장 가능하며 대역폭 구성 요구사항이 없는 클라이언트 트래픽에 따라 확장 또는 축소되는 지역별 공용 또는 전용 IP 주소를 선택하여 로드 밸런서를 제공합니다. OCI에서 NLB는 비대칭 해싱 방식으로 작동합니다. 이 해싱 접근 방식에는 소스 및 대상 NAT를 사용하여 NGFW와 함께 배포된 고유한 지정이 필요합니다. 대칭 해싱은 NLB 뒤 NGFW에서 NAT에 대한 요구사항을 제거합니다.

  • Flexible Load Balancer(FLB) - Oracle Cloud Infrastructure 로드 밸런싱 서비스는 VCN(가상 클라우드 네트워크)에서 접근할 수 있는 단일 진입점에서 다중 서버로의 자동 트래픽 분배를 제공합니다. 이 서비스에서는 선택한 퍼블릭 또는 프라이빗 IP 주소와 프로비저닝된 대역폭을 사용하는 로드 밸런서를 제공합니다.
  • 차세대 방화벽(NGFW) - 차세대 방화벽은 첨단 계층 7 필터링, 위협 감지/방지(DDoS), 심층 패킷 검사 및 침입 감지/방지 기능과 결합된 기존 방화벽 서비스를 활용하는 최신 방화벽 기술입니다.
  • TLS/SSL 인증서 - TLS/SSL 인증서는 웹 사이트의 ID를 인증하고 암호화된 연결을 가능하게 하는 디지털 인증서입니다.

    인증서에는 표준 인증서와 와일드카드 인증서의 두 가지 기본 유형이 있습니다. 표준 단일 도메인 SSL 인증서는 하나의 도메인 이름을 보안합니다. A. 와일드카드 SSL 인증서는 도메인과 개수에 제한 없이 첫번째 레벨 하위 도메인을 보호합니다. 일반적으로 와일드카드 인증서는 인증서 손상으로 인해 더 큰 리소스 집합이 영향을 받지만 표준 단일 도메인 인증서가 더 안전합니다. 손상된 경우 인증서를 사용하는 리소스에만 영향을 미치기 때문입니다.