Google Cloud Armor Adaptive Protection 사용 사례

이 문서에서는 Google Cloud Armor Adaptive Protection의 몇 가지 공통적인 사용 사례를 설명합니다.

L7 DDoS 공격 감지 및 보호

Adaptive Protection의 가장 일반적인 사용 사례는 HTTP GET 플러드, HTTP POST 플러드, 기타 높은 빈도의 HTTP 활동과 같은 L7 DDoS 공격을 감지하고 이에 대응하는 것입니다. L7 DDoS 공격은 비교적 느리게 시작하고 시간에 따라 강도가 커지는 경우가 많습니다. 사람 또는 자동화된 급증 감지 메커니즘으로 공격이 감지되었을 때는 이미 공격 강도가 크게 증가해서 애플리케이션에 강력한 부정적 영향을 주고 있을 가능성이 높습니다. 결정적으로 집계에 급증 트래픽이 관측되더라도 정상적으로 완전한 형식의 요청으로 표시되기 때문에 각각의 요청이 악의적인지 여부를 실시간으로 구분하는 것이 상당히 어렵습니다. 마찬가지로 공격 소스가 여러 봇넷 또는 수천 개부터 수백만 개까지 크기가 다양한 악의적인 클라이언트 그룹에 분산되어 있기 때문에 악의적인 클라이언트를 체계적으로 식별하고 차단하기 위해 IP만 사용하는 방식으로는 지속적인 공격을 완화하는 것이 점점 더 어려워집니다. DDoS의 경우 공격이 성공하면 결과적으로 일부 또는 모든 정규 사용자가 대상 서비스를 사용할 수 없게 됩니다.

L7 DDoS 공격 이미지(HTTP GET 플러드). 공격이 성공하면 대상 애플리케이션을 차지해서 정상 사용자가 서비스를 이용할 수 없게 만듭니다.
L7 DDoS 공격 이미지(HTTP GET 플러드). 공격이 성공하면 대상 애플리케이션을 차지해서 정상 사용자가 서비스를 이용할 수 없게 만듭니다. (확대하려면 클릭)

L7 DDoS 공격을 빠르게 감지하고 대응하기 위해 프로젝트 또는 보안 정책 소유자는 자신의 프로젝트에서 보안별 정책 기준으로 Adaptive Protection 보호를 사용 설정할 수 있습니다. 정상 트래픽 패턴에 대한 최소 1시간 이상의 학습 및 관측 시간이 지나면 Adaptive Protection이 해당 수명 주기에서 공격을 빠르고 정확하게 조기에 감지하고 정상 사용자에게 영향을 주지 않으면서 진행 중인 공격을 차단할 수 있도록 WAF 규칙을 제안할 수 있습니다.

Adaptive Protection은 L7 DDoS 공격을 식별 및 완화하며, 정상 사용자가 애플리케이션에 액세스할 수 있게 해줍니다.
Adaptive Protection은 L7 DDoS 공격을 식별 및 완화하며, 정상 사용자가 애플리케이션에 액세스할 수 있게 해줍니다. (확대하려면 클릭)

잠재적인 공격에 대한 알림 및 의심 트래픽의 식별된 서명이 Logging에 전송되고, 여기에서 로그 메시지로 커스텀 알림 정책을 트리거하거나, 메시지를 분석 및 저장하거나, 다운스트림 보안 정보 및 이벤트 관리(SIEM) 또는 로그 관리 솔루션으로 전송할 수 있습니다. 다운스트림 SIEM 또는 로그 관리를 통합하는 방법에 대한 자세한 내용은 Logging 문서를 참조하세요.

공격 서명 감지 및 응답

공격을 완화하기 위해서는 잠재적인 공격을 감지하고 알림을 표시하는 것뿐만 아니라 그러한 알림에 따라 조치를 취하고 빠르게 대응할 수 있는 능력이 중요합니다. 기업의 사고 대응팀은 몇 분 몇 시간의 중요한 시간을 할애하여 문제를 조사하고, 로그를 분석하고, 시스템을 모니터링하여 진행 중인 공격에 대한 대응 방안을 만들기에 충분한 정보를 수집해야 합니다. 그런 후 해결책을 배포하기 전 프로덕션 워크로드에 의도치 않은 또는 부정적인 영향을 주지 않도록 그러한 계획을 검증하는 단계를 거쳐야 합니다.

기업 사고 대응 프로세스의 일반적인 워크플로
기업 사고 대응 프로세스의 일반적인 워크플로 (확대하려면 클릭)

Adaptive Protection은 사고 대응팀이 알림을 받은 순간부터 진행 중인 L7 DDoS 공격을 빠르게 분석하고 대응하는 데 필요한 모든 것을 제공합니다. Adaptive Protection 알림에는 잠재적인 공격을 수행 중인 것으로 확인된 트래픽의 서명이 포함됩니다. 서명 내용에는 악의적인 HTTP 요청 헤더 집합, 소스 지역 등 수신 트래픽에 대한 메타데이터가 포함됩니다. 알림에는 또한 악의적인 트래픽을 즉시 차단하기 위해 Google Cloud Armor에 적용될 수 있는 공격 서명과 일치하는 규칙이 포함됩니다.

Adaptive Protection 이벤트는 검증에 도움이 되는 제안 규칙과 연관된 신뢰도 점수 및 예상되는 영향 기준선 평점을 제공합니다. 서명의 각 구성요소에는 또한 사고 대응팀이 대응 범위를 미세 조정하고 좁히거나 넓힐 수 있게 해주는 공격 가능성 및 공격 비율에 대한 측정값이 포함되어 있습니다.

모델 맞춤설정 및 이벤트 오류 보고

Adaptive Protection 공격 감지 모델은 정상 트래픽과 악의적인 트래픽의 특성을 모두 나타내기 위해 인위적으로 생성된 데이터 집합에 따라 학습됩니다. 따라서 Adaptive Protection에서 잠재적인 공격으로 식별되더라도 추가적인 조사에 따라 사고 대응팀 또는 애플리케이션 소유자에 의해 공격이 아닌 것으로 확인될 수 있습니다. Adaptive Protection은 각 보호 대상 애플리케이션의 고유 컨텍스트 및 트래픽 패턴을 학습할 수 있습니다.

잠재적인 공격의 서명 예시
잠재적인 공격의 서명 예시 (확대하려면 클릭)

Adaptive Protection의 학습 효과를 돕고 감지 모델을 맞춤설정할 수 있도록 개별 알림을 거짓양성으로 보고할 수 있습니다. 거짓양성 보고를 사용하면 Adaptive Protection이 이후에 비슷한 특성 및 속성의 트래픽에 대해 알림을 표시할 가능성이 줄어듭니다. 시간이 지남에 따라 Adaptive Protection 감지 모델은 각각의 보호되는 보안 정책에서 점점 더 트래픽의 특정 특성에 맞게 조정됩니다. 거짓양성 이벤트 보고 단계는 모니터링, 피드백, 이벤트 오류 보고를 참조하세요.

다음 단계