DoS 공격 방지

이 페이지는 Apigee에 적용되지만 Apigee Hybrid에는 적용되지 않습니다.

Apigee Edge 문서 보기

서비스 거부(DoS) 공격은 최종 사용자가 사용할 수 없는 서비스 또는 애플리케이션 렌더링을 시도하는 것입니다. DDoS 공격의 경우, 공격자는 다수의 리소스(주로 보안 침해된 다수의 호스트/인스턴스)를 사용하여 대상에 대한 대규모 공격을 조정합니다.

Apigee 아키텍처는 Google 관리형 테넌트 프로젝트(Apigee VPC) 및 고객 관리형 프로젝트(고객 VPC)의 두 네트워크 간 피어링 연결을 생성합니다. 이러한 네트워크에서 DoS 공격을 완화하거나 방지하려면 Google Cloud Platform의 DDoS 보호 및 완화 권장사항(PDF)을 따르세요.

API를 외부에 노출할 경우 DoS 공격에 취약할 수 있습니다. 이 문제를 완화하기 위해 Cloud Load Balancing에는 다음과 같은 보호 기능이 내장되어 있습니다.

• Google 프런트엔드 인프라로 보호: Cloud Load Balancing을 사용하면 Google 프런트엔드 인프라가 사용자 트래픽을 종료하고 특정 유형의 공격(예: SYN 급증)이 Computer Engine 인스턴스에 도달하기 전에 흡수하도록 자동으로 확장됩니다.
• Anycast 기반 부하 분산: Cloud Load Balancing을 사용하면 모든 리전의 Apigee 프런트엔드 인스턴스에 단일 anycast IP를 사용 설정할 수 있습니다. 트래픽이 가장 가까운 백엔드로 전달됩니다. DDoS 공격이 발생하면 GCLB는 백엔드가 배포된 모든 리전에서 사용 가능한 용량이 있는 인스턴스로 트래픽을 이동하여 공격을 흡수할 수 있도록 노출 영역을 늘립니다.

Cloud Load Balancing 외에도 Google Cloud Armor를 추가하여 DoS 및 웹 공격으로부터 API 엔드포인트를 보호할 수 있습니다. Cloud Armor는 다음과 같은 이점을 제공합니다.

• IP 기반 및 지역 기반 액세스 제어: IPv4 및 IPv6 주소 또는 주소 범위(CIDR)를 기준으로 수신 트래픽을 필터링합니다. Google의 geoIP 매핑을 사용하여 소스 지역을 기준으로 트래픽을 허용 또는 거부하도록 지역 기반 액세스 제어를 적용하세요.
• 하이브리드 및 멀티 클라우드 배포 지원: DDoS 또는 웹 공격으로부터 애플리케이션을 방어하고 Google Cloud에 배포된 애플리케이션과 하이브리드 또는 멀티 클라우드 아키텍처에 배포는 애플리케이션 모두에 레이어 7 보안 정책을 시행합니다.
• 공개 상태 및 모니터링: Cloud Monitoring 대시보드에서 보안 정책과 관련된 모든 측정항목을 쉽게 모니터링합니다. 또한 Security Command Center 대시보드에서 직접 Cloud Armor의 의심스러운 애플리케이션 트래픽 패턴을 볼 수 있습니다.
• 사전 구성된 WAF 규칙: 교차 사이트 스크립팅(XSS) 및 SQL 삽입과 같은 공격으로부터 보호하기 위한 ModSecurity Core Rule Set에서 즉시 사용 가능한 규칙. RFI, LFI, RCE 규칙도 베타에서 사용할 수 있습니다. WAF 규칙 가이드에서 자세히 알아보세요.
• 명명된 IP 목록: 선별된 이름이 지정된 IP 목록(베타)을 기반으로 Cloud Armor 보안 정책을 통해 트래픽을 허용하거나 거부합니다.

자세한 내용은 Google Cloud Armor를 참조하세요.