4. - 4 -
Security Trend - 급증하는 공격
피크 공격 규모 2011~2014 한달 공격 횟수 애플리케이션 계층 공격을
경험한 적이 있는 조직의 비율(%)
공격 빈도 및 규모는 물론 미션 크리티컬 영역까지 공격 범위 확대
출처: Worldwide Infrastructure Security Report 2015, Arbor Networks
5. - 5 -
Security Trend - 정교한 공격
멀티 벡터 공격(Multi-vector attacks) 보편화,
웹 애플리케이션이 가장 큰 공격 대상으로 부상
출처: Global Application & Network Security Report 2014-2015, Radware
6. - 6 -
Security Trend - 공격하기 쉬운 환경
공격 하기 쉬운 환경, 그러나 방어는 어려움
DDoS 공격 대행 비용
- 1시간 진행 시 : $5 / 24시간 진행 시 : $40
- 1주일 집중 진행 시 : $260 / 1달 집중 진행 시 : $900
7. - 7 -
Security Trend - 비즈니스에 미치는 영향
보안 관련 TCO 중 약 30%가 DoS 및 웹 기반 공격 방어로 발생,
공격으로 인해 서비스 중단, 정보 유실 및 수익 감소
9가지 공격에 대한 조직 규모별 비용 배분 비용 백분율
2014 Global Report on the Cost of Cyber Crime, 출처: Ponemon
Institute
9. - 9 -
Solution - 구축형 솔루션 취약점
구축형 솔루션 한계로 웹 사이트 운영 관리 어려움
부문별로 매우 전문적인 기술력 갖춘 다수 IT 인력 필요
평균 대비 10배 이상 트래픽 처리 위한 고비용 인프라 준비 필요
H/W 및 S/W 초기 구입 비용 TCO 일부분, 관련 비용 지속 발생
필요
10. - 10 -
Solution - 비용 비교
3년 간 Cloud Security로 절감 가능한 금액, 약 $135,900
CDNetworks
Cloud Security
WAF
사용 비용
카테고리 사용 – 1년차 사용 - 2년차 사용 - 3년차
초기 설치비 5,000 0 0
Cloud Security 비용 72,000 72,000 72,000
총 비용 77,000 72,000 72,000
S사의
WAF 어플라이언스
사용 비용
카테고리 사용 – 1년차 사용 - 2년차 사용 - 3년차
어플라이언스 구입 62,000 0 0
S/W 유지 보수 12,400 12,400 12,400
어플라이언스 관리 임금 35,500 35,500 35,500
CDN 사용 비용 50,400 50,400 50,400
총 비용 160,300 98,300 98,300
<전제조건>
• 월 평균 트래픽 규모: 300Mbps
• WAF 어플라이언스 단가: 31,000 USD, S/W 유지 보수 비용: 6,200 USD/year
• 안정성 확보를 위한 이중화 구성
• 서비스 운영 필요한 인건비: 7,100 USD, 24×7 서비스 운영 관리 위해 5운영자 고려
• 장비 이중화 및 서비스 성능 보장 고려
• CDN 서비스 단가 : 14USD/Mbps
• Cloud security WAF 단가: 20USD/Mbps
11. - 11 -
Solution - 시그니처 기반 WAF 취약점
새로운 위협에 대한 대응 및 운영 한계, 행위 기반 WAF 도입 필요
WAF RULE
운영자: 취약성 재발견 될 수 있음
시그니처 기반 WAF 사용 Zero day 공격 차단 어려움
운영자: 어떤 공격인지 확인 필요
WAF 규칙 운영 어려움대안은?
운영자: 웹 보안 강화하고
운영 편의성 높여야함
12. - 12 -
Solution - 멀티 벤더 취약점
멀티벤더 경우, 책임이 분산되어 문제 발생 시 책임 회피의 가능성기술 지원
멀티벤더 경우, 각 프리미엄 서비스마다의 추가 비용 발생비용
제품이 모든 업체에 최적화될 수 없기 때문에 서비스 품질 악화서비스 품질
13. - 13 -
Solution
CDNETWORKS CLOUD SECURITY
기존 구축형 솔루션 한계 극복 및 보다 개선된 보안 시스템 구현
Cloud Security 서비스를 통해 귀사의 웹사이트를
보다 빠르고 안전하게 글로벌 시장 및 고객에게 제공하시기 바랍니다.
15. - 15 -
Cloud Security – 서비스 범위
보다 빠르고 안전한 웹사이트 운영 환경 제공하기 위한
분산된 Cloud 인프라 기반 보안 서비스 (Security as a Service)
Cloud-based
DDoS 방어
Cloud-based
WAF
90+ 도시, 160+ PoP 기반으로
최종 사용자에게 최고의 웹사이트 성능 제공
Content Delivery Network
(Web Application Firewall)
16. - 16 -
Cloud Security – DDoS 방어
쉴드 서버
PoP A
엣지 서버
PoP B
엣지 서버
Security PoP
오리진 서버
...
GSLB(Global Server Load Balancer)
CDN 아키텍처 DDoS 방어 아키텍처
• 대역폭을 점유한 볼륨 기반 공격 방어
(UDP Floods, ICMP Floods 등)
• 서버와 장비 리소스를 소모하는 프로토콜
공격(SYN/FIN/ACK Flooding) 방어
스위치
라우터
DDoS 방어
어플라이언스
• 대용량 엣지 서버의 HTTP Flooding 차단
에이전트가 HTTP Flooding 공격을 방어
• 일반 CDN PoP에서 연중 24시간 공격
모니터링, 공격 발생 즉시 안전한 PoP로
모든
트래픽 전환
공격 발생하는 즉시 Security PoP으로 모든 트래픽 이전
사용자 좀비
아키텍처
사용자 좀비
B B B B
B* : Block Agent
17. - 17 -
Cloud Security – DDoS 방어
전 세계 분산된 6개 Security PoP 기반
웹 사이트 및 애플리케이션 연속성 보장
전 세계 6개 Security PoP에 분산된 총 260Gbps 인프라
160개 이상의 CDN 엣지 PoP을 통한 안정적인 웹사이트, 애플리케이션 성능 구현
미국
산호세 PoP
뉴욕 PoP
100Gbps
CDN
APAC
도쿄 PoP
서울 PoP
60Gbps
CDN
EMEA
런던 PoP
프랑크푸르트 PoP
100Gbps
CDN
2015년 7월 기준
서비스 인프라
18. - 18 -
Cloud Security – DDoS 방어
스위치
라우터
엣지 서버
스위치
라우터
쉴드 서버
DNS
오리진서버
...
스위치
라우터
DDoS 방어
어플라이언스
인터넷
인터넷
인터넷
LDNS
IP 3.3.3.1 ~ x
IP 2.2.2.1 ~ x
IP 4.4.4.1 ~ x
엣지 서버
GSLB
Foo.com
IP 1.1.1.1
사용자 좀비
1 2 4
1 2
1 2
1
3
B B B B
www.foo.com
Image.foo.com
service.foo.com/asp
www.foo.com.cdngc.net
image.foo.com.cdngc.net
service.foo.com.cdngc.net
간단한 CDN 도메인 TTL 설정
1
2
www.foo.com.cdnga.net
image.foo.com.cdnga.net
service.foo.com.cdnga.net
(애플리케이션 서비스 도메인은 CDN PoP 유지)
3
4
엣지 서버에 공격 감지 모듈 설치
CDNetworks NOC
서비스 흐름도 1 - 설정 및 모니터링
19. - 19 -
Cloud Security – DDoS 방어
스위치
라우터
엣지 서버
스위치
라우터
쉴드 서버
DNS
오리진서버
...
스위치
라우터
DDoS 방어
어플라이언스
인터넷
인터넷
인터넷
LDNS
IP 3.3.3.1 ~ x
IP 2.2.2.1 ~ x
IP 4.4.4.1 ~ x
엣지 서버
GSLB
Foo.com
IP 1.1.1.1
사용자 좀비
2
1
4
3
B B B B
www.foo.com.cdnga.net
image.foo.com.cdnga.net
service.foo.com.cdngc.net
1
2
3
4
라우터에서 ACL로 IP 차단(화이트 리스트와 블랙
리스트) 및 null 라우팅
DDoS 방어 어플라이언스로 볼륨 기반 공격과
프로토콜 공격 차단
엣지 서버 HTTP Flooding 차단 에이전트 HTTP
Flooding 공격 차단
서비스 흐름도 2 - DDoS 방어
20. - 20 -
Spoofed IP protection
Abnormal Fragment Protection
UDP Flooding Protection by source IP
ICMP Flooding Protection by source IP
Abnormal Behavior Protection
Abnormal State Protection (ACK Flooding, etc.)
Session limit per source IP
SYN Flooding Protection
Session Based POST Attack protection
Block Land Attack
Block Private IP defined by RFC 1918
Abnormal packet(TCP/UDP/ICMP/IP) protection
Blacklist / Whitelist Protection based on the Time
Amplification Style Attack(DNS, NTP, etc)
Anti-DDoS appliance L3/L4 layer attack
GET Flooding Attack
POST Flooding Attack
L7 signature Protection
Block Suspicious HTTP Request
RUDY attack
Slowloris attack
HULK Attack
HTTP Flooding Protection
SSL Renegotiation Attack
HTTP Flooding
Block Agent
L7 layer attack
Attack Type Block System Layer
Cloud Security – DDoS 방어
주요 기능
21. - 21 -
Cloud Security – WAF
오리진 서버
전 세계에 분산된 WAF 노드를 기반
으로 지역별 현지 공격 방어
CDN 엣지와 쉴드 서버 결합으로
웹 성능 보장
오리진 서버에서 일반 요청 접수
Cloud WAF로 요청
퍼스트 마일
CDNetworks
Cloud WAF
라스트 마일
최종 사용자 / 해커
아키텍처
22. - 22 -
Cloud Security – WAF
캐시
L7 DDoS 모드
적용
Static 규칙
적용
IP Reputation
적용
WAF 규칙
적용
행위 기반
탐지 적용
최종 사용자오리진 서버
Big Data
Engine
Central
Config Engine
커뮤니케이션 에이전트
규칙과 설정
Static 규칙과 구성,
TTL을 이용한 동적 규칙
트래픽 데이터
요청 정보, 응답 시간/헤더 세션 및 장치 데이터, 사용
자 GUI 상호 작용
동적 데이터 처리 및 동적 규칙 생성 결과가
TTL과 함께 수집됩니다.
CDNetworks 템플릿으로 생성한 정적 규
칙은
manual purge로 삭제될때까지 서비스 노
드에
입력됩니다.
CSC(Central Security Cloud)
5 단계 방어 시스템 기반 보안 방화벽으로 공격 즉각 인지 및 차단
서비스 흐름도
비동기 백그라운드와 실시간에 가까운 프로세스
인라인 실시간 프로세스
23. - 23 -
Cloud Security – WAF
활성화/비활성화
Cloud에서 보낸 명령
모드가 활성화된 경우,
Cloud로 보낸 통계 정보
L7 DDoS 모드
적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF - L7 DDoS 공격 필터링
24. - 24 -
Cloud Security – WAF
계정 생성하거나
사용자가 설정 변경할 경우
설정된 규칙 적용
Cloud로
이벤트(위반) 전송
Static 규칙
적용
Big Data
Engine
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF - Static 규칙 기반 방어
25. - 25 -
Cloud Security – WAF
의심스러운 IP 목록이
태그 되고 위험 수준과 함께
서비스 노드로 전달
Cloud로
이벤트(위반) 전송
IP Reputation
적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF - IP Reputation 기반 방어
26. - 26 -
Cloud Security – WAF
계정 설정 시 서비스 노드로
규칙 템플릿 전달
이벤트(위반)를 IP 및
세션 데이터와 함께 Cloud로 전송
WAF 규칙
적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF – 시그니처 기반 방어
27. - 27 -
Cloud Security – WAF
동적 요청 데이터
(브라우저와 GUI 상호 작용 데이터
+ 위반 데이터 포함)
동적 규칙과
TTL 값
행위 기반
탐지 적용
Big Data
Engine
Central
Config Engine
CSC(Central Security Cloud)
멀티 레이어 WAF – 행위 기반 방어
28. - 28 -
Cloud Security – WAF
카테고리 설명 UI
스팸 및 웹게시판
오용/남용 방어
스팸 등 웹게시판에 대한 오용, 남용을 막기 위한 방어 셋트
(예: 자동 게시 도구를 이용한 광고성 게시물 등록 금지)
UI로 켜기/끄기 가능
CMS 플랫폼 보호
유명한 CMS와 Wordpress, Joomla, Durpal 등
이미 알려진 취약점을 개선하기 위한 도구 및 규칙 세트
애플리케이션 DDoS 방어
HTTP-Get Flood, Slow Loris, Rudy 등 7계층 DDoS로
웹사이트를 공격하려는 시도로부터 보호
항시 활성화
WAF(SQLi, XSS 등)
SQL Injections 및 Cross Site Scripting(XSS),
그 외 인적(human)/비인적(non-human) 공격 등 해킹 시도에 대한 첫 번째 계층 방
어
UI로 켜기 / 끄기 가능
Reputation 방화벽
CDNetworks의 CSC(Central Security Cloud)에서
위험 또는 악성으로 분류한 IP 트래픽 차단
스크린 스크랩핑 방어
CDNetworks의 고급 스크랩핑 방지 솔루션으로
데이터 크롤링 봇과 스크린 스크랩핑 프로그램으로부터 사이트 보호
CDNetworks 행위 기반
악성 봇과 고위험 세션을 차단하는 사용자 동작 위험 평가.
저대역폭 DDoS 공격, brute-forcing 공격, 해커와 서버간의 검색과 공격 계획을 차단
함으로써
다른 모든 보안 계층의 성능과 탄력성을 강화하여 정교한 공격을 완화
사용자 지정 규칙 지원 UI를 이용한 사용자 정책 설정
주요 기능
29. - 29 -
Cloud Security – WAF
• 특정 규칙 세트에 부합하는 요청 허용1. 허용
• 특정 규칙 세트에 부합하는 요청 차단2. 차단
• 클라이언트에게 주어진 문자열 입력 요청
3. Captcha
(자동 로그인 방지)
• 클라이언트의 비정상/의심 동작 확인 검사
• 검사 소요시간 최대 2초
• IP Reputation 방화벽에 대한 기본 조치
4. 확장된 브라우저
유효성 검사
• 클라이언트의 비정상/의심 동작 확인 검사
• 간단한 검사 프로세스
5. 브라우저 유효성 검
사
진행 순위
비정상 요청에 적용 가능한 5가지 조치
30. - 30 -
행위 기반 방화벽 관리
전체 정보 요약
사용자 정의 규칙 생성
도메인별 보안 설정
Cloud Security – WAF
대시보드
31. - 31 -
Cloud Security – 가치
- DDoS 및 웹 보안 공격 완벽 방어
- 전 세계에 분산된 260+Gbps
DDoS
및 웹 방화벽 인프라 활용
- DDoS 우회 방어와 행위 기반
웹 방화벽
- 기존 솔루션이 지닌 한계를 해소
할 수 있는 완벽한 솔루션
- 쉬운 작동, 즉시 사용 가능, 서비
스 규모 따른 지불 모델 제공
“웹 서비스를 보다 빠르고 안전하게 비용 효율적으로 운영 가능”
+ +