GigaOM Radar Edge Platform Leader & Outperformer 2024 | 
수천 개의 웹 애플리케이션과 스트리밍 미디어 서비스를 지원하는 대규모 글로벌 네트워크를 운영할 때 DDoS(Distributed Denial-of-Service) 공격을 방어하는 것은 일상적인 업무의 일부입니다. 탄력적이고 지능적인 DDoS 방어 플랫폼을 갖추는 것은 Akamai 네트워크와 이를 기반으로 하는 웹 서비스의 운영에 필수적입니다.
이러한 방어 기능을 제공하기 위해 당사는 레이어 3/4 공격이 고객의 웹 애플리케이션에 영향을 미치지 않도록 차단하는 DDoS 탐지 및 방어 플랫폼인 Stonefish를 개발했습니다. Stonefish는 엣지에서 Edgio의 종합적인 보안 솔루션의 첫 번째 방어 계층으로, 연중무휴 24시간 작동하며 초당 수백만 개의 패킷을 분석하고 위협에 대한 점수를 매기고 필요한 경우 자동으로 조치를 취하며 지원 팀에서 모니터링하여 추가 분석 및 완화 조치를 실시간으로 수행할 수 있습니다.
Edgio는 Edgio의 WAAP(Web and API Protection) 솔루션과 함께 전체 엣지 네트워크의 모든 서버에서 실행되는 통합 멀티레이어 보안을 제공합니다. Edgio WAAP에는 액세스 제어 규칙(ACL), API 보안, 애플리케이션 레이어 DDoS 보호, 고급 봇 관리, 맞춤형 보안 규칙 및 매니지드 보안 규칙이 포함되어 있습니다. 모든 요청은 지연 시간을 최소화하면서 이러한 정교한 보안 계층에 의해 처리됩니다. Akamai는 단일 제어 창을 통해 사이트의 성능과 안정성을 향상시키면서 플랫폼 뒤에 있는 모든 웹 애플리케이션에 대해 레이어 3/4 및 7 공격을 탐지하고 방어할 수 있는 원스톱 쇼핑을 고객에게 제공하게 된 것을 자랑스럽게 생각합니다.
Stonefish 디자인 목표
Stonefish는 Akamai의 네트워크와 인프라와 이 인프라에서 실행되는 모든 중요한 고객 서비스를 보호하기 위해 특별히 제작된 DDoS 방어 플랫폼입니다. Akamai는 모든 POP(Point of Presence)에서 실행되는 오픈 소스와 맞춤형 소프트웨어를 혼합하여 DDoS 보안 스택을 개발하여 확장성이 뛰어난 자동화된 DDoS 플랫폼을 제공하여 일선 지원 팀의 DDoS 완화 지원 능력을 향상시켰습니다.
Stonefish는 다음과 같은 목적으로 설계되었습니다.
- 불량 트래픽을 몇 초 내에 감지하고 필터링합니다.
- 대규모 공격부터 상태 고갈에 이르는 OSI 계층 3 및 4를 아우르는 광범위한 DDoS 공격을 방어합니다(레이어 7 공격은 Akamai의 종합적인 WAAP로 처리됨).
- 기존 네트워크 아키텍처와 소프트웨어 정의 탐지 및 완화 정책을 결합하여 활용하십시오.
- 클라우드 기반의 단일 유리 제어판을 통해 배포 가능(관리 API 사용 가능)
- 거의 실시간으로 모든 PoP에 걸쳐 규칙을 효율적으로 업데이트하고 정책을 적용하며, 공격에 대응하여 즉각적으로 자동으로 생성된 규칙도 적용합니다.
이러한 노력으로 대부분의 DDoS 공격을 탐지하고 차단하는 완전 자동화된 시스템을 구축함으로써 보안이 강화되고 안심할 수 있게 되었습니다.
스톤피시 건축
Stonefish에 대한 소프트웨어 정의 접근 방식을 채택하면 분산된 인프라에 DDoS 방어 조치를 수용할 수 있어 글로벌 네트워크의 모든 POP가 악성 트래픽을 탐지하고 걸러내는 스크러빙 센터로 기능할 수 있습니다. Stonefish는 모듈식 소프트웨어 아키텍처로 구축되어 특수 하드웨어를 사용하지 않고도 끊임없이 진화하는 위협 환경에 대비하여 시스템에 기능을 쉽게 추가할 수 있습니다.
Stonefish는 대규모 글로벌 Anycast 네트워크를 활용합니다. 전 세계적으로 분산된 Anycast 네트워크를 통해 악성 트래픽을 가장 가까운 POP로 라우팅할 수 있습니다. 이를 통해 공격이 고객의 네트워크와 데이터 센터에 도달하기 전에 공격의 출처 근처 엣지에서 공격을 완화할 수 있습니다. 이러한 완화는 원활하게 이루어지므로 대부분의 경우 고객은 자신이 공격을 받고 있다는 사실을 인지하지 못합니다. 한편, 당사의 서비스는 소스 IP 주소/포트, 대상 IP/포트 및 패킷 필드와 같은 값을 사용하여 잠재적인 공격을 식별하고 손상이 발생하기 전에 차단합니다.
샘플링 및 점수 산정
들어오는 모든 네트워크 트래픽은 Stonefish가 샘플링하고 분석합니다. 점수 산정 시스템은 악의성의 심각도를 파악하고 불량 트래픽을 자동으로 차단하는 데 사용됩니다. 분석 결과도 24x7x365 SOC로 전송되어 추가 조치가 필요한지 평가됩니다. 작동 방식은 다음과 같습니다.
- 클라이언트가 인터넷 연결 응용 프로그램에 콘텐츠 요청을 보냅니다.
- 라우터는 요청을 수신하여 부하 분산 인프라로 라우팅합니다.
- 부하 분산 장치에서 Stonefish로 트래픽 샘플이 전송됩니다.
- Stonefish는 트래픽을 분석하고 점수를 매깁니다.
- 악성 트래픽이 식별되면 Stonefish는 부하 분산 장치에 명령을 전송하여 Stonefish가 식별한 신호를 기반으로 트래픽을 삭제합니다.
- Edgio의 SOC는 공격에 대한 통지를 받고 추가 조치가 필요한 경우 후속 조치를 취할 것입니다.
Stonefish에 강화
우리는 최근 Stonefish의 “두뇌”를 지원하는 Elasticsearch를 사용하도록 분산 검색 및 분석 엔진을 개선했습니다. Elasticsearch 데이터는 맞춤형 소프트웨어 애플리케이션을 통해 패킷 메트릭의 변경 사항을 지속적으로 분석합니다. 우리의 소프트웨어는 시간 간격에 대한 점수를 검색하고 변칙적이거나 경계를 벗어난 변경에 대해 이전 간격과 비교합니다. 각 프로토콜에는 TCP, UDP 또는 ICMP 패킷과 같이 가능한 가장 정확한 식별을 위한 사용자 지정 쿼리 및 감지 로직이 있습니다. 또한 지난 몇 년간 XDP(Express Data Path) 기술에 투자해 왔으며 XDP 계층에서 패킷 샘플링을 수행하도록 업데이트했습니다. 또한 XDP의 프로그래밍 가능한 고성능 데이터 경로를 활용하여 공격 패킷을 보다 효과적으로 삭제했습니다.
SOC와 Stonefish가 함께 일하는 방식
Stonefish는 SOC가 보안 및 성능 관점에서 애플리케이션을 모니터링하는 데 사용하는 많은 도구 중 하나입니다. 지원 팀에 정교한 공격을 실시간으로 알리는 대시보드에 내장되어 있습니다. Stonefish는 DDoS 공격을 자동으로 차단하는 한편, 비정상 상황을 경계하도록 구성되어 있어 SOC 전문가가 조사하고 조치를 취하도록 합니다.
DDoS 완화는 모든 서비스 계획에 포함되어 있습니다. 고객은 연중무휴 24시간 전화나 이메일을 통해 Akamai 지원 팀에 접속하여 DDoS 지원을 받을 수 있습니다. DDoS 공격에 대한 향상된 지원 및 에스컬레이션에는 DDoS 랜섬 발생 시 사전 대응 및 고객 지원을 비롯한 전문 보안 서비스 비율이나 계층이 필요하지 않습니다. Edgio는 공격을 받더라도 추가 요금을 부과하지 않으므로 고객에게 예측 가능한 가격 책정을 제공합니다(갑작스런 비용 없음).
Stonefish는 대규모 DDoS 공격을 차단합니다.
2022년 6월 14일, Edgio는 아시아에 위치한 다국적 전자 상거래 클라이언트를 대상으로 약 1억 76Mpps(Million Packets Per Second)의 대규모 DDoS 공격을 막았습니다. 공격은 약 30분 동안 지속되었으며 EU에서 시작되었습니다. Anycast 네트워크는 고객의 인프라가 아시아에 위치했음에도 불구하고 부하를 빠르게 분산시키고 EU 지역 내에서 공격을 완화했습니다.
몇 주 후, 스톤피쉬는 이 크기의 두 배인 공격을 감지하고 막았다. 355Mpps, 프랑스 유수의 조직인 이 고객은 영향을 받지 않았습니다. 이 공격은 Mpps로 측정된 사상 최대 규모의 DDoS 공격의 절반 정도였습니다.
대규모 공격에도 불구하고 Edgio의 네트워크가 공격 트래픽의 100%를 흡수했기 때문에 오리진에 영향을 미치지 않은 것은 클라이언트에게는 이벤트가 아니었습니다. 24×7 SOC는 고객에게 아무런 조치가 필요하지 않음에도 불구하고 이를 알리도록 통보했습니다. Edgio는 250Tbps의 대역폭 용량을 보유하고 있으며, 매니지드 보안 팀과 24×7 SOC가 지원하는 포괄적인 애플리케이션 보안 및 L3/4/7 DDoS 방어를 제공하는 유일한 에지 플랫폼 중 하나입니다.
결론
Akamai는 모든 인터넷 트래픽의 4% 이상을 처리하는 최대 규모의 글로벌 엣지 기반 보안 플랫폼 중 하나로서 매일 수천 개의 고객 웹사이트를 대상으로 하는 DDoS 공격을 방어하고 방어합니다.
DDoS 완화는 효과적인 보안 방어에서는 한 계층에 불과하지만 여전히 필수적인 계층입니다. 인텔은 대규모 네트워크 에지에 지능형 소프트웨어 스택을 통합하여 이러한 위협을 탐지하고 완화함으로써 레이어 3 및 4 공격으로부터 고객의 웹 애플리케이션을 자동으로 방어하기 위해 Stonefish를 구축했습니다. 고객들은 서비스 팀과 협력하여 모든 계층에서 발생하는 DDoS 공격을 차단할 수 있는 사전 예방적 DDoS 지원을 받습니다.
Edgio가 조직의 사이버 보안 태세를 강화하는 데 어떤 도움을 줄 수 있는지 자세히 알고 싶으시면 오늘 저희에게 연락하여 전문가와 함께 종합적인 평가 일정을 잡으십시오.
