JINIers
Cloud Armor 본문
Cloud Armor
개요
DDoS 공격, XXS(크로스 사이트 스크립팅), SQL injection(SQL 삽입공격)과 같은 어플리케이션 공격을 포함한 여러가지 위협으로부터 cloud 배포를 보호
cloud armor에는 일부 자동보호기능 포함 / 수동으로 구성해야 하는 경우도 있음
armor 중 일부는 global external http(s) LB, global external http(s) LB(classic)에서만 사용가능
보안정책
armor 사용 시 배포 여부와 관계없이 LB 뒤에서 실행되는 애플리케이션 보호 가능
수동으로 구성가능
규칙언어
우선순위가 지정된 규칙 정의 및 적용
수신요청 속성 = 해당 속성, 일치 시 가장 우선순위가 높은 규칙 순으로 작업 적용
사전 구성된 WAF(Web Application Firewall) 규칙
일반적인 공격으로부터 웹 어플리케이션과 서비스를 보호함
Armor Managed Protection
DDoS 공격과 기타 위협으로부터 웹 어플리케이션과 서비스를 보호하는데 유용한 관리형 애플리케이션 보호 서비스
LB 상시 보호기능 제공
WAF 규칙에 대한 액세스 제공
DDoS 보호 제공 : 전역 외부 http(s) LB, 전역 외부 https(s) LB(classic), 외부 SSL 프록시 LB, TCP 프록시 LB
Threat Intelligence
armor threat intel 사용 시 global external http(s) LB 및 global external http(s) LB(classic)에 트래픽 허용&차단 가능 : 트래픽 보호
명명된 IP 주소 목록
IP주소와 IP 범위 목록 참조
IP 주소 목록으로 보안정책 규칙 구성
IP주소 or IP 범위를 개별적으로 지정할 필요 없음
Armor Adaptive Protection
백엔드 서비스에 대한 트래픽 패턴 분석
의심되는 공격 감지 및 알림 표시
공격 완화를 위한 WAF 규칙 생성 → L7 DDoS로부터 서비스&애플리케이션 보호
작동방식
네트워크 or 프로토콜 기반 볼륨DDoS 공격에 대해 상시 사용 설정된 DDoS 보호 제공
LB 프록시를 통해 올바른 형식의 요청만 허용되도록 네트워크 공격 감지 및 완화
LB의 백엔드 서비스에 보안 정책 연결
* 보안정책 : 사전 구성된 WAF 규칙 + 커스텀 레이어 7 필터링 정책 적용
+ 220901 : 내용 추가