Edge를 활용한 애플리케이션 성능 향상 및 DDoS 방어 전략
<1> AWS Edge 서비스
<2> AWS Edge 서비스로 성능 개선하기
<3> Amazon CloudFront로 Web애플리케이션 성능 개선
<4> AWS Global Accelerator로 TCP/UDP 애플리케이션 성능 개선
<5> 성능 측면 정리
<6> DDOS 공격에 대한 아키텍처 구성하기
<7> AWS Shield Standard & Advanced
<8> DDOS 공격 방어 요약
<1> AWS Edge 서비스
1
각 Edge location은 수백 Gbps의 대역폭 연결
허용된 포트의 트래픽 외에는 차단
들어오는 패킷을 인라인으로 검사하여 악성으로 판단되면 차단.
2
Amazon CloudFront
AWS Global Accelerator - TCP / UDP까지 가속화 가는
AWS WAF
AWS Shield - DDOS 방어
Amazon Route53 - 다양한 라우팅 제공
CloudFront Functions/Lambda@Edge - 에지에서 사용하는 컴퓨팅 자원으로 다양한 비즈니스 로직을 애플리케이션으로부터 에지로 오프 로딩할 수 있다.
<2> AWS Edge 서비스로 성능 개선하기
1
Amazon CloudFront로 Web애플리케이션 성능 개선
AWS Global Accelerator로 TCP/UDP 애플리케이션 성능 개선
2
정적 콘텐츠(images, CSS, JS, Videos) 성능 개선?
콘텐츠를 사용자 가까이로 이동(캐싱)
동적 콘텐츠(profile pages, ecommerce carts, APIs) 성능 개선?
AWS 글로벌 네트워크를 통한 가속화
TCP/TLS 연결 오버헤드 최적화
<3> Amazon CloudFront로 Web애플리케이션 성능 개선
1
CloudFront 가 TCP/TLS 연결 오버헤드 최적화?
사용자와 에지 사이?
각 에지에서 연결 종료를 지원한다. 에지까지만 TCP/TLS 연결함.
에지와 EC2 애플리케이션 사이?
TCP/TLS를 활성 상태로 유지하여 재사용이 가능하다.
2
CloudFront ------ API Gateway 콘텐츠별 성능 비교?
CloudFront 가 API Gateway 보가
정적은 80% 감소
동적은 20% 감소
<4> AWS Global Accelerator로 TCP/UDP 애플리케이션 성능 개선
1
ALB, NLB 또는 EC2 인스턴스 대상으로 하는 인터넷 트래픽 성능 최대 60% 향상
2
고정 IP 주소 제공
3
비정상 엔드폰인트 감지호 30초 이내 트래픽 Failover
4
적용하면 전 세계 최종 사용자는 고정된 2개의 IP로 요청을 하게 된다.
해당 요청은 가장 가까운 에지 로케이션으로 전달된다.
<5> 성능 측면 정리
1
Amazon CloudFront는 정적 및 동작 콘텐츠 모두 가속화한다.
캐시 히트율을 최적화한다.
2
에지 로케이션에서 TCP/TLS 연결을 종료한다.
연결 시간을 최소화한다.
3
에지 로케이션에서 애플리케이션 사이의 연결을 재사용한다.
연결 협상과 관련된 부분을 최소화한다.
<6> DDOS 공격에 대한 아키텍처 구성하기
1
사용 서비스?
Amazon CloudFront
AWS Global Accelerator
Amazon Route53
AWS WAF
2
아키텍처
https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency/welcome.html
3
애지 로케이션을 활용한 DDOS 방어?
완전 인라인 DDOS 완화
Syn 프락시
오류 격리
분산된 에지 로케이션
WAF 비율 기반 규칙 - 정의한 임계값을 초과하는 경우 불량 IP주소로 자동 차단
WAF IP 평판 규칙
WAF 익명 IP 목록 규칙
<7> AWS Shield Standard & Advanced
1
AWS Shield Standard
AWS Shield Advanced
2
AWS Shield Standard?
추가 비용 없이 자동 보호 제공
디폴트로 적용된다.
정적 임계값을 기반으로 차단
CloudFront , Route53은 인라인으로 실시간 평가 - 즉시 차단
EC2, EIP , ALB, NLB EIP , Global Accelerator - 1분마다 트래픽 평가 - 최대 5분 후 차단
관리자가 특별히 작업을 해야 하는 것이 없다. 아키텍처 변경이 없다.
3
AWS Shield Advanced?
유료
Shield Respones Team(SRT) 팀의 지원을 받는다. 24시간 보안 지원.
가시성을 제공한다. Cloudwatch 이벤트 알려준다.
보호 자원?
ALB , CLB
Amazon CloudFront
Amazon Route53
EIP (NLB, EC2)
AWS Global Accelerator
<8> DDOS 공격 방어 요약
1
Amazon CloudFront , AWS Global Accelerator , Amazon Route53로 DDOS 효과적으로 대응
2
WAF의 비율 기반 규칙, IP 평판 규칙, 익명 IP 목록 규칙 통해 차단 가능
디음은
https://brunch.co.kr/@topasvga/2705
https://brunch.co.kr/@topasvga/2699
감사합니다.