Google은 서버를 여러 유형의 위협으로부터 Google Cloud로 보호하기 위해 Cloud Armor 서비스를 제공하고 있습니다.
※ Google Cloud Armor는 외부 부하 분산기 뒤에서 실행되는 애플리케이션에만 보호 기능을 제공하며 몇 가지 기능은 외부 HTTP(S) 부하 분산기에서만 사용할 수 있습니다.
Cloud Armor를 적용하기 위해서는 보안 정책을 구성해야 합니다. 그 중에서 비율 제한 규칙을 구성하거나 Adaptive Protection 기능을 사용하여 DDoS 공격을 방어할 수 있습니다.
1. 비율 제한 규칙(Rate-limiting Rule)
비율 제한 규칙은 다음과 같은 기능을 제공합니다.
1) 특정 클라이언트가 애플리케이션 리소스를 소진하지 못하도록 합니다.
2) 불안정하고 예측할 수 없는 클라언트 요청 비율 급증으로부터 애플리케이션 인스턴스를 보호합니다.
비율 기반 규칙은 2가지 유형이 존재합니다.
1) 제한 : 개별 클라이언트를 사용자가 구성한 기준으로 제한하여 클라이언트별 또는 모든 클라이언트에 대해 최대 요청 한도를 적용할 수 있습니다.
2) 비율 기반 차단 : 클라이언트별로 규칙과 일치하는 요청에 비율 제한을 적용한 후, 사용자가 구성한 기준을 초과 시 설정된 기간 동안 해당 클라이언트를 일시적으로 차단 할 수 있습니다.
* 규칙을 사용하기 전 미리보기 모드를 사용하여 요청 로그를 검토하여 해당 규칙의 효과를 미리 검토하시길 권고 드립니다.
Adaptive Protection은 L7 DDoS 공격으로부터 Google Cloud의 리소스 및 서비스를 보호합니다.
Adaptive Protection은 다음 기능들을 수행하는 머신러닝 모델을 빌드합니다.
1) 이상 활동 감지 및 알림
2) 잠재적 공격을 기술하는 서명 생성
3) 서명 차단을 위한 Custom Google Cloud Armor WAF 규칙 생성
Adaptive Protection은 각 보안 정책을 기준으로 사용 및 중지 할 수 있습니다.