고급 네트워크 DDoS 보호 구성

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

DDoS 공격은 악의적인 행위자가 적법한 사용자의 환경을 저하시키기 위해 공개적으로 노출된 사이트, 시스템, API의 운영을 중단하려는 의도적인 시도입니다. 외부 TCP/UDP 네트워크 부하 분산기(네트워크 부하 분산), 프로토콜 전달, 공개 IP 주소가 있는 VM을 사용하는 워크로드의 경우 Google Cloud Armor는 DDoS 공격으로부터 시스템을 보호하는 데 도움이 되는 다음 옵션을 제공합니다.

  • 표준 네트워크 DDoS 보호: 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소가 있는 VM에 대한 상시 사용 설정되는 기본 보호 기능입니다.
  • 고급 네트워크 DDoS 보호: 네트워크 부하 분산기, 프로토콜 전달 또는 공개 IP 주소가 포함된 VM을 사용하는 Managed Protection 플러스 구독자를 위한 추가 보호 기능입니다. Managed Protection에 대한 자세한 내용은 Managed Protection 개요를 참조하세요.

이 문서에서는 표준 및 고급 네트워크 DDoS 보호 간의 차이점, 고급 네트워크 DDoS 보호 작동 방법, 고급 네트워크 DDoS 보호를 사용 설정하는 방법을 설명합니다.

표준 네트워크 DDoS 보호와 고급 보호 비교

다음 표에 따라 표준 및 고급 네트워크 DDoS 보호 기능을 비교할 수 있습니다.

특성 표준 네트워크 DDoS 보호 고급 네트워크 DDoS 보호
보호된 엔드포인트 유형
  • 네트워크 부하 분산기
  • 프로토콜 전달
  • 공개 IP 주소가 있는 VM
  • 네트워크 부하 분산기
  • 프로토콜 전달
  • 공개 IP 주소가 있는 VM
표준 DDoS 공격 필터링
전달 규칙 적용
공격 모니터링 및 알림 상시 사용 설정
표적 공격 완화
완화 원격 분석

네트워크 DDoS 보호 작동 방식

표준 네트워크 DDoS 보호는 항상 사용 설정되어 있습니다. 사용 설정하기 위해 별도의 조치를 취할 필요는 없습니다.

리전별로 고급 네트워크 DDoS 보호를 구성합니다. 특정 리전에 사용 설정하면 Google Cloud Armor는 해당 리전에서 네트워크 부하 분산기, 프로토콜 전달, 공개 IP 주소가 있는 VM에 상시 사용 설정된 타겟팅된 볼륨 공격 감지 및 완화 기능을 제공합니다. Managed Protection 플러스에 등록된 프로젝트에만 고급 네트워크 DDoS 보호를 적용할 수 있습니다.

고급 네트워크 DDoS 보호를 구성할 때는 먼저 선택한 리전에서 CLOUD_ARMOR_NETWORK 유형의 보안 정책을 만듭니다. 그런 후 고급 네트워크 DDoS 보호를 사용 설정하도록 보안 정책을 업데이트합니다. 마지막으로 CLOUD_ARMOR_NETWORK 유형의 보안 정책을 연결할 수 있는 리소스인 네트워크 에지 보안 서비스를 만듭니다. 네트워크 에지 보안 서비스에 보안 정책을 연결하면 선택한 리전에서 모든 적용 가능한 엔드포인트에 고급 네트워크 DDoS 보호가 사용 설정됩니다.

고급 네트워크 DDoS 보호 활성화

다음 단계에 따라 고급 네트워크 DDoS 보호를 활성화합니다.

Managed Protection 플러스 등록

리전별 기준에 따라 고급 네트워크 DDoS 보호를 사용 설정하려면 Managed Protection 플러스에 프로젝트가 등록되어 있어야 합니다. 활성화되면 활성화된 리전의 모든 리전 엔드포인트에 상시 사용 설정된 고급 네트워크 DDoS 보호가 수신됩니다.

결제 계정에 활성 Managed Protection 플러스 구독이 있고 현재 프로젝트가 Managed Protection 플러스에 등록되었는지 확인합니다. Managed Protection에 등록에 대한 자세한 내용은 Managed Protection 플러스 구독 및 프로젝트 등록을 참조하세요.

고급 네트워크 DDoS 보호 구성

다음 단계에 따라 고급 네트워크 DDoS 보호를 사용 설정합니다. 변수를 해당 배포와 관련된 정보로 바꿉니다.

  1. CLOUD_ARMOR_NETWORK 유형의 보안 정책을 만들거나 CLOUD_ARMOR_NETWORK 유형의 기존 보안 정책을 사용합니다. SECURITY_POLICY_NAME을 보안 정책에 지정할 이름으로 바꾸고 REGION을 보안 정책을 프로비저닝하려는 리전으로 바꿉니다.

    gcloud compute security-policies create SECURITY_POLICY_NAME --type CLOUD_ARMOR_NETWORK --region REGION
    
  2. --network-ddos-protection 플래그를 ADVANCED로 설정하여 새로 만든 보안 정책 또는 기존 보안 정책을 업데이트합니다.

    gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection ADVANCED --region  REGION
    
  3. 보안 정책을 참조하는 네트워크 에지 보안 서비스를 만듭니다.

    gcloud compute network-edge-security-services create SERVICE_NAME --security-policy SECURITY_POLICY_NAME --region REGION
    

고급 네트워크 DDoS 보호 중지

고급 네트워크 DDoS 보호를 중지하려면 --network-ddos-protection 플래그를 STANDARD로 설정하여 보안 정책을 업데이트하거나 보안 정책을 삭제합니다.

보안 정책 업데이트

다음 명령어를 사용해서 --network-ddos-protection 명령어를 STANDARD로 설정해서 보안 정책을 업데이트합니다. 변수를 해당 배포와 관련된 정보로 바꿉니다.

  gcloud compute security-policies update SECURITY_POLICY_NAME --network-ddos-protection STANDARD --region  REGION
  

보안 정책 삭제

네트워크 에지 보안 정책을 삭제하려면 먼저 네트워크 에지 보안 서비스에서 삭제해야 합니다. 사용 중인 보안 정책을 삭제할 수 없기 때문입니다. 다음 단계에 따라 보안 정책을 삭제합니다.

  1. 네트워크 에지 보안 서비스에서 정책을 삭제하거나 네트워크 에지 보안 서비스를 삭제합니다.
  2. 다음 명령어를 사용하여 보안 정책을 삭제합니다.

    gcloud compute security-policies delete NAME
    

네트워크 DDoS 완화 원격 분석

다음 섹션에서는 원격 분석을 사용하여 공격 및 소스를 분석하는 방법을 설명합니다.

Cloud Logging 공격 완화 이벤트 로그

Google Cloud Armor는 DDoS 공격을 완화할 때 세 가지 유형의 이벤트 로그를 생성합니다. 다음 섹션에서는 각 이벤트 로그 유형의 로그 형식 예시를 제공합니다.

  • 완화 시작됨

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_STARTED"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1400000
    }
    started: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • 완화 진행 중

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ONGOING"
    target_vip: "XXX.XXX.XXX.XXX"
    total_volume: {
      pps: 1500000
    }
    ongoing: {
    total_attack_volume: {
      pps: 1100000
    }
    classified_attack: {
      attack_type: "ntp amplification"
      attack_volume: {
        pps: 500000
      }
    }
    classified_attack: {
      attack_type: "ssdp amplification"
      attack_volume: {
        pps: 600000
      }
    }
    }
    
  • 완화 완료됨

    @type: "type.googleapis.com/google.cloud.networksecurity.cloudarmor.logging.v1.CloudArmorMitigationAlert"
    alertId: "11275630857957031521"
    mitigation_type: "MITIGATION_ENDED"
    target_vip: "XXX.XXX.XXX.XXX"
    ended: {
      attack_duration_seconds: 600
    }
    

이러한 로그를 보려면 로그 탐색기로 이동하고 network_security_policy 리소스를 확인합니다.

로그 탐색기로 이동

로그 보기에 대한 자세한 내용은 로그 보기를 참조하세요.