Azure DDoS Protection 참조 아키텍처

  • 아티클

Azure DDoS Protection은 가상 네트워크에 배포된 서비스용으로 설계되었습니다. 다음과 같은 참조 아키텍처는 시나리오별로 정렬되어 있으며, 아키텍처 패턴이 함께 그룹화되어 있습니다.

보호된 리소스

지원되는 리소스는 다음과 같습니다.

  • 다음에 연결된 공용 IP:
    • IaaS 가상 머신.
    • Application Gateway(WAF 포함) 클러스터.
    • Azure API Management(프리미엄 계층에만 해당).
    • Bastion.
    • 외부 모드에서 VNet(가상 네트워크)에 연결됩니다.
    • 방화벽.
    • IaaS 기반 네트워크 가상 어플라이언스(NVA).
    • Load Balancer(클래식 및 표준 Load Balancer).
    • Service Fabric.
    • VPN Gateway.
  • 보호는 BYOIP(사용자 지정 IP 접두사)를 통해 Azure로 가져온 공용 IP 범위도 포함합니다.

지원되지 않는 리소스는 다음과 같습니다.

  • Azure Virtual WAN.
  • 지원되는 모드가 아닌 배포 모드의 Azure API Management.
  • Power Apps용 Azure App Service Environment를 포함한 PaaS 서비스(다중 테넌트).
  • 공용 IP 주소 접두사에서 만들어진 공용 IP를 포함하는 보호된 리소스입니다.
  • NAT Gateway.

참고 항목

웹 워크로드의 경우 Azure DDoS Protection웹 애플리케이션 방화벽을 활용하여 새로운 DDoS 공격으로부터 보호하는 것이 좋습니다. 또 다른 옵션은 웹 애플리케이션 방화벽과 함께 Azure Front Door를 사용하는 것입니다. Azure Front Door는 네트워크 수준 DDoS 공격에 대한 플랫폼 수준 보호를 제공합니다. 자세한 내용은 Azure 서비스에 대한 보안 기준을 참조하세요.

가상 머신(Windows/Linux) 워크로드

부하 분산된 가상 머신에서 실행되는 애플리케이션

이 참조 아키텍처에서는 확장성과 가용성을 개선하기 위해 부하 분산 장치 뒤에서 확장 집합에 포함된 복수의 Windows 가상 머신을 실행하는 검증된 모범 사례를 보여줍니다. 이 아키텍처는 웹 서버 같은 상태 비저장 워크로드에 사용할 수 있습니다.

이 아키텍처에서 워크로드는 여러 가상 머신 인스턴스에 분산됩니다. 단일 공용 IP 주소가 있으며 인터넷 트래픽은 부하 분산 장치를 통해 가상 머신에 분산됩니다.

부하 분산 장치는 수신되는 인터넷 요청을 여러 VM 인스턴스로 분산합니다. 가상 머신 확장 집합을 사용하면 여러 VM을 수동 확장 또는 축소하거나 사전 정의된 규칙을 바탕으로 자동 확장 또는 축소할 수 있습니다. 이는 리소스가 DDoS 공격을 받고 있는 경우에 중요합니다. 이 참조 아키텍처에 대한 자세한 내용은 Azure의 Windows N 계층 애플리케이션을 참조하세요.

DDoS Network Protection 가상 머신 아키텍처

부하가 분산된 가상 머신에서 실행되는 애플리케이션에 대한 DDoS Network Protection 참조 아키텍처 다이어그램.

DDoS Network Protection는 연결된 공용 IP가 있는 Azure(인터넷) 부하 분산 장치의 가상 네트워크에서 사용하도록 설정됩니다.

DDoS IP 보호 가상 머신 아키텍처 미리 보기

부하가 분산된 가상 머신에서 실행되는 애플리케이션에 대한 DDoS IP 보호 참조 아키텍처 다이어그램.

공용 부하 분산 장치의 프런트 엔드 공용 IP 주소에서 DDoS IP 보호가 사용하도록 설정됩니다.

Windows N 계층에서 실행 중인 애플리케이션

N 계층 아키텍처를 구현하는 방법은 여러 가지가 있습니다. 다음 다이어그램은 계층 3개로 이루어진 일반적인 웹 애플리케이션을 보여 줍니다. 이 아키텍처는 부하가 분산된 VM을 실행하여 확장성 및 가용성 확보 아티클을 기반으로 합니다. 웹 및 비즈니스 계층은 부하 분산된 VM을 사용합니다.

DDoS Network Protection Windows N 계층 아키텍처

Windows N 계층에서 실행되는 애플리케이션에 대한 DDoS Network Protection 참조 아키텍처 다이어그램.

이 아키텍처 다이어그램에서 DDoS Network Protection은 가상 네트워크에서 사용하도록 설정됩니다. 가상 네트워크의 모든 공용 IP는 레이어 3 및 4에 대해 DDoS 보호를 받습니다. 레이어 7 보호의 경우 WAF SKU에 Application Gateway를 배포합니다. 이 참조 아키텍처에 대한 자세한 내용은 Azure의 Windows N 계층 애플리케이션을 참조하세요.

DDoS IP 보호 Windows N 계층 아키텍처

Windows N 계층에서 실행되는 애플리케이션에 대한 DDoS IP 보호 참조 아키텍처 다이어그램.

이 아키텍처 다이어그램에서 DDoS IP 보호는 공용 IP 주소에서 사용하도록 설정됩니다.

참고 항목

단일 VM이 공용 IP 뒤에서 실행되는 시나리오는 권장되지 않습니다. DDoS 공격이 감지되면 DDoS 완화가 즉시 시작되지 않을 수 있습니다. 따라서 이러한 경우 스케일 아웃할 수 없는 단일 VM 배포가 중단됩니다.

PaaS 웹 애플리케이션

이 참조 아키텍처는 단일 지역에서 Azure App Service 애플리케이션을 실행하는 방법을 보여줍니다. 이 아키텍처는 Azure App ServiceAzure SQL Database를 사용하는 웹 애플리케이션에 관한 일련의 검증된 사례를 보여줍니다. 대기 지역은 장애 조치(failover) 시나리오에 대해 설정되어 있습니다.

Azure Traffic Manager는 들어오는 요청을 한 지역의 Application Gateway로 라우팅합니다. 정상 작동 중에는 요청을 활성 지역의 Application Gateway로 라우팅합니다. 해당 지역을 사용할 수 없게 되면 Traffic Manager가 대기 지역의 Application Gateway로 장애 조치(failover) 됩니다.

웹 애플리케이션을 대상으로 하는 인터넷의 모든 트래픽이 Traffic Manager를 통해 Application Gateway 공용 IP 주소로 라우팅됩니다. 이 시나리오에서 앱 서비스(웹앱) 자체는 외부와 직접 연결되지 않고 Application Gateway를 통해 보호됩니다.

레이어 7(HTTP/HTTPS/WebSocket) 공격에 대해 보호할 수 있도록 Application Gateway WAF SKU(금지 모드)를 구성하는 것이 좋습니다. 또한 웹앱은 Application Gateway IP 주소에서 오는 트래픽만 수락하도록 구성됩니다.

이 참조 아키텍처에 대한 자세한 내용은 고가용성 다중 지역 웹 애플리케이션을 참조하세요.

PaaS 웹 애플리케이션 아키텍처를 사용한 DDoS Network Protection

PaaS 웹 애플리케이션용 DDoS Network Protection 참조 아키텍처의 다이어그램.

이 아키텍처 다이어그램에서 DDoS Network Protection은 웹앱 게이트웨이 가상 네트워크에서 사용하도록 설정됩니다.

PaaS 웹 애플리케이션 아키텍처를 사용한 DDoS IP 보호

PaaS 웹 애플리케이션을 위한 DDoS IP 보호 참조 아키텍처 다이어그램.

이 아키텍처 다이어그램에서 DDoS IP 보호는 웹 애플리케이션 게이트웨이와 연결된 공용 IP에서 사용하도록 설정됩니다.

비 웹 PaaS 서비스에 대한 완화

Azure의 HDInsight

이 참조 아키텍처는 Azure HDInsight 클러스터에 대한 DDoS 보호 구성을 보여 줍니다. HDInsight 클러스터가 가상 네트워크에 연결되어 있고 DDoS Protection이 해당 가상 네트워크에서 사용되는지 확인해야 합니다.

가상 네트워크 설정을 포함한

DDoS Protection을 사용하기 위한 선택

이 아키텍처에서 인터넷의 HDInsight 클러스터를 대상으로 하는 트래픽은 HDInsight 게이트웨이 부하 분산 장치와 연결된 공용 IP 주소로 라우팅됩니다. 그러면 게이트웨이 부하 분산 장치가 트래픽을 헤드 노드 또는 작업자 노드로 직접 보냅니다. HDInsight 가상 네트워크에서 DDoS Protection을 사용하기 때문에 가상 네트워크의 모든 공용 IP가 레이어3 및 4에 대해 DDoS 보호를 받습니다. 이 참조 아키텍처를 N 계층 및 다중 지역 참조 아키텍처와 결합할 수 있습니다.

이 참조 아키텍처에 대한 자세한 내용은 Azure Virtual Network를 사용하여 Azure HDInsight 확장 설명서를 참조하세요.

Azure Firewall 및 Azure Bastion을 사용한 허브 앤 스포크 네트워크 토폴로지

이 참조 아키텍처는 보안 측면에 대한 중앙 제어가 필요한 시나리오에 대해 허브 내부의 Azure Firewall을 DMZ로 사용하는 허브 앤 스포크 토폴로지를 자세히 설명합니다. Azure Firewall은 서비스로서의 관리 방화벽이며 자체 서브넷에 배치됩니다. Azure Bastion은 자체 서브넷에 배포 및 배치됩니다.

VNet 피어링을 사용하여 허브에 연결된 두 개의 스포크가 있으며 스포크 간 연결이 없습니다. 스포크 대 스포크 연결이 필요한 경우 한 스포크에서 방화벽으로 트래픽을 전달하는 경로를 만들어야 합니다. 그러면 방화벽에서 이를 다른 스포크로 라우팅할 수 있습니다. 허브 내부에 있는 모든 공용 IP는 DDoS Protection으로 보호됩니다. 이 시나리오에서 허브의 방화벽은 방화벽의 공용 IP가 보호되는 동안 인터넷에서 수신 트래픽을 제어하는 데 도움이 됩니다. Azure DDoS Protection은 베스천의 공용 IP도 보호합니다.

DDoS Protection은 가상 네트워크에 배포되는 서비스용으로 설계되었습니다. 자세한 내용은 가상 네트워크에 전용 Azure 서비스 배포를 참조하세요.

DDoS Network Protection 허브 앤 스포크 네트워크

방화벽, 베스천 및 DDoS Protection이 포함된 DDoS Network Protection 허브 및 스포크 아키텍처를 보여 주는 다이어그램.

이 아키텍처 다이어그램에서 Azure DDoS Network Protection은 허브 가상 네트워크에서 사용하도록 설정됩니다.

DDoS IP 보호 허브 앤 스포크 네트워크

방화벽, 베스천 및 DDoS 보호가 포함된 DDoS IP 보호 허브 및 스포크 아키텍처를 보여 주는 다이어그램.

이 아키텍처 다이어그램에서 Azure DDoS IP 보호는 공용 IP 주소에서 사용하도록 설정됩니다.

참고 항목

Azure DDoS Infrastructure Protection 기본은 추가 비용 없이 공용 IPv4 및 IPv6 주소를 사용하는 모든 Azure 서비스를 보호합니다. 이 DDoS 보호 서비스는 Azure DNS와 같은 PaaS(Platform as a Service) 서비스를 포함한 모든 Azure 서비스 보호를 지원합니다. 자세한 내용은 Azure DDoS Protection 개요를 참조하세요. 허브 앤 스포크 토폴로지에 대한 자세한 내용은 허브-스포크 네트워크 토폴로지를 참조하세요.

다음 단계