Microsoft가 DoS 공격으로부터 방어하는 방법 이해
DoS(서비스 거부)는 공격자가 합법적인 활동을 방지하기 위해 공격 대상 시스템의 모든 리소스를 사용하는 네트워크 기반 공격의 범주를 나타냅니다. 단일 문제 출처에서 트래픽을 식별하고 차단하는 것은 간단하기 때문에 가장 까다로운 형태의 DoS 공격은 DDoS(분산 서비스 거부)입니다. DDoS 공격은 공격자가 제어하는 많은 손상된 중간 시스템을 활용하여 대상 시스템에 과부하를 가합니다. 공격 출처의 종류와 수가 다양하기 때문에 DDoS 공격을 감지하고 차단하기가 더 어렵습니다.
세 가지 효율적인 DDoS 방어 시스템은 흡수, 탐지 및 완화입니다. 검색 및 완화에 충분한 시간을 사용하도록 하려면 가용성 손실 없이 초기 DoS 공격을 흡수해야 합니다. 적절한 수용 용량이 없으면 시스템에 과부하가 발생하기 전에 DDoS 공격에 대응할 시간이 충분하지 않을 수 있습니다. 그렇기 때문에 성공적인 DDoS 방어를 위해서는 용량 증가와 강력한 모니터링 시스템의 조합으로 탐색 시간을 줄여야 합니다.
Microsoft는 흡수 기능을 강화하기 위하여 고유한 방대한 규모와 글로벌 공간을 사용합니다. 전역적으로 분산된 네트워크를 통해 ECMP(동일 비용 다중 경로) 라우팅을 구현하여 Microsoft 365 서비스 액세스 네트워크 경로 중복성을 제공하고 DDoS 공격이 발생하는 지역을 격리합니다. 또한 서비스 및 고객 데이터는 기본 데이터 센터를 사용할 수 없게 되면 장애 조치(failover)를 할 수 있는 기능을 사용하여 데이터 센터 간에 복제됩니다. 이 접근 방식은 특정 에지 지점의 개별 DDoS 공격이 Microsoft 365 서비스의 가용성에 심각한 위험을 초래하지 않음을 의미합니다.
다중의 동시 DDoS 공격 위험을 더 잘 처리하기 위해 Microsoft는 다중 층 팀지 시스템을 네트워크 에지의 전역 분산 완화 구성 요소와 분리했습니다. Microsoft 네트워크의 다양한 지점에 있는 흐름 데이터 및 성능 정보는 DDoS 상관 관계 및 탐지 시스템을 개발하고 개선하는 데 사용됩니다. 네트워크 트래픽에 대한 Microsoft의 암시적 거부 원칙은 원치 않는 통신이 네트워크 에지에서 삭제되어 서비스 공격 표면이 줄어들고 분석 부담을 감소시켜 줍니다.
탐지되면 DDoS 공격은 SYN 쿠키, 속도 제한 및 연결 제한과 같은 표준 완화 기술을 사용하여 처리됩니다. DDoS 공격은 대부분 OSI(Open System Interconnection) 모델의 네트워크(L3) 및 전송(L4) 층을 대상으로 하여 네트워크 라인 및 디바이스 리소스를 포화 상태로 설정합니다. Microsoft는 공격 트래픽이 합법적인 고객 트래픽을 방해하거나 손상을 일으키지 않도록 이러한 층을 보호하는데 초점을 맞춰 솔루션을 설계했습니다. 데이터 센터 라우터의 트래픽 샘플링 데이터는 Microsoft의 모니터링 시스템에서 수집 및 분석되며, 이러한 위험 수준이 높은 층에 대한 DDoS 공격이 감지될 경우 활성화되는 자동화된 방어 메커니즘을 갖추고 있습니다.
DDoS 방어에 대한 다중 층 접근 방식의 일부로 Exchange Online 및 SharePoint Online과 같은 응용프로그램은 사용하는 리소스에 따라 사용자를 제한할 수 있습니다. 일반적인 예는 짧은 시간 내에 너무 많은 작업을 수행하는 사용자 또는 서비스를 제한하는 것입니다. 이렇게 하면 DDoS 공격에 대한 추가 방어 층이 제공됩니다.