brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Sep 09. 2022

17탄-4. Edge를 활용한 애플리케이션 성능 향상

Edge를 활용한 애플리케이션 성능 향상 및 DDoS 방어 전략



<1> AWS  Edge  서비스

<2> AWS  Edge  서비스로 성능 개선하기

<3> Amazon CloudFront로 Web애플리케이션 성능 개선

<4> AWS Global Accelerator로  TCP/UDP 애플리케이션 성능 개선

<5> 성능 측면 정리

<6>  DDOS 공격에 대한 아키텍처 구성하기

<7> AWS Shield Standard & Advanced 

<8> DDOS 공격 방어 요약



<1> AWS  Edge  서비스


1

각 Edge location은 수백 Gbps의  대역폭 연결

허용된 포트의 트래픽 외에는 차단

들어오는 패킷을 인라인으로 검사하여 악성으로 판단되면 차단.


2

Amazon CloudFront

AWS Global Accelerator - TCP / UDP까지 가속화 가는

AWS WAF

AWS Shield - DDOS 방어

Amazon Route53 - 다양한 라우팅 제공

CloudFront Functions/Lambda@Edge - 에지에서 사용하는 컴퓨팅 자원으로 다양한 비즈니스 로직을 애플리케이션으로부터 에지로 오프 로딩할 수 있다.



<2> AWS  Edge  서비스로 성능 개선하기


1

Amazon CloudFront로 Web애플리케이션 성능 개선

AWS Global Accelerator로  TCP/UDP 애플리케이션 성능 개선



2

정적 콘텐츠(images, CSS, JS, Videos) 성능 개선?

콘텐츠를 사용자 가까이로 이동(캐싱)


동적 콘텐츠(profile pages, ecommerce carts, APIs)  성능 개선?

AWS 글로벌 네트워크를 통한 가속화

TCP/TLS 연결 오버헤드 최적화 



<3> Amazon CloudFront로 Web애플리케이션 성능 개선


1

CloudFront 가 TCP/TLS 연결 오버헤드 최적화?


사용자와 에지 사이?

각 에지에서 연결 종료를 지원한다. 에지까지만 TCP/TLS 연결함.


에지와 EC2 애플리케이션 사이?

TCP/TLS를 활성 상태로 유지하여 재사용이 가능하다.


2

CloudFront ------ API Gateway   콘텐츠별 성능 비교?


CloudFront 가 API Gateway 보가

정적은 80% 감소

동적은 20% 감소



<4>  AWS Global Accelerator로  TCP/UDP 애플리케이션 성능 개선


1

ALB, NLB 또는 EC2 인스턴스 대상으로 하는 인터넷 트래픽 성능 최대 60% 향상


2

고정  IP 주소 제공


3

비정상 엔드폰인트 감지호 30초 이내 트래픽 Failover


4

적용하면 전 세계 최종 사용자는 고정된 2개의 IP로 요청을 하게 된다.

해당 요청은 가장 가까운 에지 로케이션으로 전달된다.



<5> 성능 측면 정리


1

Amazon CloudFront는 정적 및 동작 콘텐츠 모두 가속화한다.

캐시 히트율을 최적화한다.


2

에지 로케이션에서 TCP/TLS 연결을 종료한다.

연결 시간을 최소화한다.


3

에지 로케이션에서 애플리케이션 사이의 연결을 재사용한다.

연결 협상과 관련된 부분을 최소화한다.



<6> DDOS 공격에 대한 아키텍처 구성하기


1

사용 서비스?

Amazon CloudFront

AWS Global Accelerator

Amazon Route53

AWS WAF


2

아키텍처

https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/welcome.html


3

애지 로케이션을 활용한  DDOS 방어?

완전 인라인 DDOS 완화

Syn 프락시 

오류 격리

분산된 에지 로케이션

WAF 비율 기반 규칙 - 정의한 임계값을 초과하는 경우 불량 IP주소로 자동 차단

WAF IP 평판 규칙

WAF 익명 IP 목록 규칙



<7> AWS Shield Standard & Advanced 


1

AWS Shield Standard

AWS Shield Advanced 


2

AWS Shield Standard?

추가 비용 없이 자동 보호 제공

디폴트로 적용된다.

정적 임계값을 기반으로 차단

 CloudFront , Route53은 인라인으로 실시간 평가 - 즉시 차단

EC2, EIP , ALB, NLB EIP , Global Accelerator - 1분마다 트래픽 평가 - 최대 5분 후 차단

관리자가 특별히 작업을 해야 하는 것이 없다. 아키텍처 변경이 없다.


3

AWS Shield Advanced?

유료

Shield Respones Team(SRT) 팀의 지원을 받는다. 24시간 보안 지원.

가시성을 제공한다. Cloudwatch 이벤트 알려준다.


보호 자원?

ALB , CLB

Amazon CloudFront

Amazon Route53

EIP (NLB, EC2)

AWS Global Accelerator




<8>   DDOS 공격 방어 요약


1

Amazon CloudFront , AWS Global Accelerator , Amazon Route53로 DDOS 효과적으로 대응


2

WAF의 비율 기반 규칙, IP 평판 규칙, 익명 IP 목록 규칙 통해 차단 가능





디음은

https://brunch.co.kr/@topasvga/2705




https://brunch.co.kr/@topasvga/2699


감사합니다.

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari