Azure WAF에는 DDoS(분산 서비스 거부) 공격을 방지하는 데 도움이 되는 몇 가지 방어 메커니즘이 포함되어 있습니다. DDoS 공격은 네트워크 계층(L3/L4)과 애플리케이션 계층(L7) 모두를 대상으로 할 수 있습니다. Azure DDoS Protection은 대규모 네트워크 계층 볼륨 공격 방지를 지원합니다. 계층 7에서 작동하는 Azure WAF는 HTTP 홍수와 같은 L7 DDoS 공격으로부터 웹 애플리케이션을 보호합니다. 이러한 방어는 공격자가 애플리케이션에 도달하여 애플리케이션의 가용성 및 성능에 영향을 주지 않도록 방지합니다.
서비스를 어떻게 보호할 수 있나요?
WAF(Web Application Firewall)를 추가하거나 서비스 앞에 DDoS Protection을 배치하여 잘못된 요청을 필터링하여 이러한 공격을 완화합니다. Azure Azure Front Door 사용하여 네트워크 에지에서 실행되고 Application Gateway가 있는 데이터 센터에서 실행되는 WAF를 제공합니다. 애플리케이션 요구 사항에 맞게 이러한 단계를 조정합니다.
- Azure Front Door 프리미엄 또는 Application Gateway WAF v2 SKU를 사용하여 WAF(Web Application Firewall) 배포하여 L7 애플리케이션 레이어 공격으로부터 보호합니다.
- 여유 용량이 충분하도록 원본 인스턴스 수를 확장합니다.
- 원본 공용 IP에서 Azure DDoS Protection을 사용하도록 설정하여 계층 3(L3) 및 계층 4(L4) DDoS 공격으로부터 공용 IP를 보호합니다. Azure DDoS 제품은 웹 사이트로 많은 수의 패킷을 보내는 L3 및 L4 볼륨 공격으로부터 대부분의 사이트를 자동으로 보호합니다. 또한 Azure는 기본적으로 Azure에서 호스트되는 모든 사이트에 인프라 수준 보호를 제공합니다.
Azure Front Door가 포함된 Azure WAF
Azure WAF에는 HTTP 홍수, 캐시 바이패스 및 봇넷에서 시작된 공격과 같은 다양한 유형의 공격을 완화하는 데 사용할 수 있는 많은 기능이 포함되어 있습니다.
봇 보호 관리 규칙 집합을 사용하여 알려진 잘못된 봇으로부터 보호합니다. 자세한 내용은 봇 보호 구성을 참조하세요.
IP 주소가 서비스를 너무 자주 호출하지 못하도록 속도 제한을 적용합니다. 자세한 내용은 속도 제한을 참조하세요.
악의적인 것으로 식별되는 IP 주소 및 범위를 차단합니다. 자세한 내용은 IP 제한을 참조하세요.
정의된 지리적 지역 외부 또는 애플리케이션 트래픽 패턴에 맞지 않는 정의된 지역 내에서 발생하는 트래픽을 차단하거나 정적 웹 페이지로 리디렉션합니다. 자세한 내용은 지역 필터링을 참조하세요.
사용자 지정 WAF 규칙을 만들어 알려진 서명이 있는 HTTP 또는 HTTPS 공격을 자동으로 차단 및 속도 제한합니다. 서명에는 특정 사용자 에이전트 또는 헤더, 쿠키, 쿼리 문자열 매개 변수 또는 여러 서명의 조합과 같은 특정 트래픽 패턴이 포함됩니다.
WAF 외에도 Azure Front Door 기본 Azure 인프라 DDoS 보호를 제공하여 L3/L4 DDoS 공격으로부터 보호합니다. Azure Front Door에서 캐싱을 사용하도록 설정하면 에지의 갑작스런 최대 트래픽 볼륨을 흡수하고 공격으로부터 백 엔드 원본을 보호할 수 있습니다.
Azure Front Door의 기능 및 DDoS 보호에 대한 자세한 내용은 Azure Front Door의 DDoS 보호를 참조하세요.
Azure Application Gateway를 사용한 Azure WAF
L7 DDoS 완화 기능과 같은 최신 기능이 포함된 Application Gateway WAF v2 SKU를 사용하여 L7 DDoS 공격으로부터 보호합니다.
Application Gateway WAF SKU를 사용하여 많은 L7 DDoS 공격을 완화할 수 있습니다.
Application Gateway를 자동 크기 조정으로 설정하고 최대 인스턴스 수를 적용하지 않습니다.
봇 보호 관리 규칙 집합을 사용하여 알려진 잘못된 봇으로부터 보호합니다. 자세한 내용은 봇 보호 구성을 참조하세요.
IP 주소가 서비스를 너무 자주 호출하지 못하도록 속도 제한을 적용합니다. 자세한 내용은 속도 제한 사용자 지정 규칙 구성을 참조하세요.
악의적인 것으로 식별되는 IP 주소 및 범위를 차단합니다. 자세한 내용은 v2 사용자 지정 규칙만들기 및 사용의 예제를 참조하세요.
정의된 지리적 지역 외부 또는 애플리케이션 트래픽 패턴에 맞지 않는 정의된 지역 내에서 발생하는 트래픽을 차단하거나 정적 웹 페이지로 리디렉션합니다. 자세한 내용은 v2 사용자 지정 규칙만들기 및 사용의 예제를 참조하세요.
사용자 지정 WAF 규칙을 만들어 알려진 서명이 있는 HTTP 또는 HTTPS 공격을 자동으로 차단 및 속도 제한합니다. 서명에는 헤더, 쿠키, 쿼리 문자열 매개 변수 또는 여러 서명의 조합이 포함된 특정 사용자 에이전트 또는 특정 트래픽 패턴이 포함됩니다.
기타 고려 사항
원본에서 공용 IP에 대한 액세스를 잠그고 Azure Front Door 또는 Application Gateway에서 원본으로의 트래픽만 허용하도록 인바운드 트래픽을 제한합니다. Azure Front Door에 대한 지침을 참조하세요. Application Gateway의 가상 네트워크에 공개적으로 노출된 IP 주소가 없는지 확인합니다.
WAF 정책을 방지 모드로 전환합니다. 검색 모드에서 정책을 배포하는 것은 로그에서만 작동하며 트래픽을 차단하지 않습니다. 프로덕션 트래픽으로 WAF 정책을 검증하고 테스트한 후, 오탐을 줄이도록 세부 조정한 다음 정책을 방어 모드(차단 모드)로 전환합니다.
Azure WAF 로그를 사용하여 변칙이 있는지 트래픽을 모니터링합니다. 비정상적으로 많은 수의 요청을 보내는 것으로 의심되는 IP, 비정상적인 사용자 에이전트 문자열, 비정상적인 쿼리 문자열 패턴 등 잘못된 트래픽을 차단하는 사용자 지정 규칙을 만들 수 있습니다.
오탐을 줄이기 위해 작업을 'Allow'로 설정한 Match Custom Rules를 생성하면 알려진 정상 트래픽에 대해 WAF를 우회할 수 있습니다. 이러한 규칙을 다른 블록 및 속도 제한 규칙보다 높은 우선 순위(낮은 숫자 값)로 구성합니다.
최소한 단일 IP 주소에서 높은 요청 속도를 차단하는 속도 제한 규칙이 있습니다. 예를 들어 단일 클라이언트 IP 주소가 창당 XXX 이상의 트래픽을 사이트로 보내는 것을 허용하지 않도록 속도 제한 규칙을 구성할 수 있습니다. Azure WAF는 요청을 추적하기 위한 2개의 창(1분 및 5분)을 지원합니다. HTTP 홍수 공격을 더 잘 완화하려면 5분 창을 사용합니다. 이 규칙은 이 규칙보다 먼저 일치하도록 보다 구체적인 속도 제한 규칙 또는 일치 규칙을 만들 수 있도록 가장 낮은 우선 순위 규칙(우선 순위는 1이 가장 높은 우선 순위임)이어야 합니다. Application Gateway WAF v2를 사용하는 경우 다른 속도 제한 구성을 사용하여 클라이언트 IP 이외의 방법으로 클라이언트를 추적하고 차단할 수 있습니다. Application Gateway WAF의 속도 제한에 대한 자세한 내용은 속도 제한 개요에서 찾을 수 있습니다.
다음 Log Analytics 쿼리는 이전 규칙에 사용해야 하는 임계값을 결정하는 데 도움이 될 수 있습니다. Application Gateway를 사용한 유사한 쿼리의 경우,
FrontdoorAccessLog를ApplicationGatewayAccessLog으로 바꿉니다.AzureDiagnostics | where Category == "FrontdoorAccessLog" | summarize count() by bin(TimeGenerated, 5m), clientIp_s | summarize max(count_), percentile(count_, 99), percentile(count_, 95)관리되는 규칙은 DDoS 공격에 대한 방어 대상으로 직접 지정되지는 않지만 다른 일반적인 공격에 대한 보호를 제공합니다. 자세한 내용은 관리되는 규칙(Azure Front Door) 또는 관리되는 규칙(Application Gateway)을 참조하여 이러한 규칙이 보호할 수 있는 다양한 공격 유형에 대해 자세히 알아보세요.
WAF 로그 분석
다음 쿼리를 사용하여 Log Analytics WAF 로그를 분석할 수 있습니다.
Azure Front Door (Azure의 웹 트래픽 관리 서비스)
AzureDiagnostics
| where Category == "FrontdoorWebApplicationFirewallLog"
자세한 내용은 Azure Front Door가 포함된 Azure WAF를 참조하세요.
Azure Application Gateway
AzureDiagnostics
| where Category == "ApplicationGatewayFirewallLog"
자세한 내용은 Azure Application Gateway가 포함된 Azure WAF를 참조하세요.
관련 콘텐츠
- Azure Front Door에 대한 WAF 정책을 만듭니다.
- Web Application Firewall을 사용하는 Application Gateway를 만듭니다.
- Azure Front Door가 DDoS 공격으로부터 보호하는 방법을 알아봅니다.
- Azure DDoS 네트워크 보호로 애플리케이션 게이트웨이를 보호합니다.
- Azure DDoS Protection에 대해 자세히 알아봅니다.