AWS CloudFront 가속 및 DDoS 방어
- 1. AWS CloudFront – AWS의 콘텐츠 전송 및 보안 양 경 윤 Kyle Yang kyleyang@amazon.com
- 2. CloudFront – Single Service 캐싱 HTTPS 다이나믹 콘텐츠 가속 with AWS백본 DDoS 인라인 방어
- 3. AWS 콘텐츠 전송: CDN
- 4. 인터넷 성능 이슈의 원인 전송 지연 (Latency) 150 ms 300 ms 서울 런던 샌프란시스코 고객사 서버 글로벌 사용자 비효율적인 프로토콜 (TCP/HTTP) 네트워크 문제 (인터넷 패킷손실/폭주) # CloudFront 가속 - AWS Backbone # CloudFront 가속 - TCP 최적화 - Persistent 연결 - HTTP 2 - 압축 # CloudFront 가속 - AWS Backbone
- 5. 6 3 4 3 5 Amazon CloudFront Global Content Delivery Network 107 PoPs (96 Edge Locations, 11 Regional Edge Caches) Regional Edge Cache Locations • Oregon • Ohio • N. Virginia • London • Frankfurt • Sao Paulo • Mumbai • Singapore • Seoul • Tokyo • Sydney https://aws.amazon.com/ko/cloudfront/details/#edge-locations
- 6. AWS CloudFront – 대규모 고성능의 수퍼 PoP 아키텍쳐 ISP ISP ISP ISP ISP ISP ISP ISP ISP ISP ISP ISP ISP ISP Distributed (CloudFront) Highly Distributed AWS CloudFront의 Edge Locations은 전세계 네트워크에 전략적으로 분산되어있는 대규모 네트워크 및 서버 용량 을 갖춘 "수퍼 POP" 아키텍쳐입니다. 초고속 인터넷과 같은 LastMile 성능 개선으로 수퍼 PoP의 효용성이 커지고 있습니다. Super PoP 의 장점 사용자와 캐시의 과도한 분배를 피함으로써 캐시 히트 율 향상 대규모 DDoS 공격에 대한 원활한 대응 신속한 설정 배포 및 액세스 로그 수집 덜 복잡한 아키텍처로 라우팅 오류 위험을 줄입니다.
- 7. Cedexis US 성능 비교 (P50, P90)
- 8. CDN 라우팅(맵핑) 방식 비교 Anycast 방식 • 서비스 호스트네임에 대해 모든 PoP이 동일한 IP를 사용하여 클라이언트가 BGP path 에 따른 가까운 PoP에 접속하게 하는 기술 • 네트워크 최단 경로를 사용하는 방식이나 BGP path가 불안정한 경우 서비스 장애 및 Latency 정보 반영하지 못함 DNS 방식 • 클라이언트의 DNS 요청에 대해 Metric을 고려하여 PoP 선정 • Metrics: PoP 부하상태, Latency, 지리적/네트웍 거리, PoP Cost • 대부분의 CDN 업체는 PoP Cost를 고려한 서비스별 차등 라우팅룰 적용 AWS CloudFront • DNS 방식을 사용 • 클라이언트와 PoP간 실측된 지연시간(Latency) 기준으로 최상의 라우팅 제공 • PoP Cost 를 고려하지 않는 Latency 기반 라우팅으로 지역별 차등 단가 적용 CDN 라우팅: 클라이언트의 요청을 어떤 PoP에 연결할지 결정하는 로직 및 기술로서 CDN의 핵심 기술
- 9. CloudFront는 모든형식의 컨텐츠를 가속 Dynamic Static Video User Input SSL
- 10. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. CloudFront 가속 기술 OriginCloudFrontClient - Latency 기준 라우팅 - Caching: 정적, 동적 - TCP 최적화 - 컨텐츠 압축 - SSL - Lambda@Edge - Persistent TCP 연결 - TCP 최적화 - Pre-Petch - SSL - Region Edge Cache - Lambda@Edge - AWS Backbone (전용망)
- 11. 고객 데이터 센터 AND, OR CloudFront 엣지 로케이션 정적 컨텐트 오리진 EC2 instance web app server Elastic Load Balancing Amazon S3 bucket 동적 컨텐트 오리진 AWS WAF AWS SHIELD X Lambda@Edge 정적 컨텐트 오리진 동적 컨텐트 오리진 X CloudFront Architecture with AWS Backbone CF AWS Backbone
- 14. Static Contents Caching AWS Backbone 고객 데이터 센터 Static Content Origin EC2 instance web app server Elastic Load Balancing Amazon S3 bucket 동적 컨텐트 오리진 CloudFront 엣지 로케이션 CF AWS SHIELD GET /image.jpg X Public Internet
- 15. CloudFront Dynamic Content(API) 가속 결과 API Acceleration – CloudFront with AWS Backbone
- 16. AWS 백본 – 오리진이 AWS 리전일 경우 AWS Backbone 고객 데이터 센터 Static Content Origin EC2 instance web app server Elastic Load Balancing Amazon S3 bucket 동적 컨텐트 오리진 CloudFront 글로벌 엣지 로케이션 AWS SHIELD GET /update? GET /update? X Public Internet
- 17. On-Prem 오리진 가속 테스트 결과 – Public Internet vs. CloudFront with AWS 백본 End User Location Public Internet CloudFront Frankfurt 7 ~ 30초 2.1 ~ 2.2 초 Mumbai 4~7 초 1.5 ~ 1.7 초 Paris - Cable 7.2 ~ 10.2초 3.1 초 Dubai - Cable 5.6 ~ 16.3초 2.9 초 전송 속도 비교 : HTTP로 1Mbyte 파일 On-Prem 오리진으로 부터 다운로드 (CloudFront No-Caching 적용)
- 18. On-Prem 오리진 가속 고객 사례: 서울 리전 Proxy 이용 그룹웨어 성능 개선 – 유럽 모바일 실사용자 테스트 / 100% 다이나믹 콘텐츠 메일 본문 로딩 속도 구분 LTE WiFi 기존 AWS CloudFront 성능향상 기존 AWS CloudFront 성능향상 결재 앱 00:01.983 00:01.176 69% 00:02.080 00:01.119 87% 첨부파일 로딩 속도 구분 LTE WiFi 기존 AWS CloudFront 성능향상 기존 AWS CloudFront 성능향상 결재 앱 00:15.043 00:08.924 69% 00:07.124 00:04.809 48% 메일 앱 00:07.933 00:02.893 174% 00:07.103 00:03.130 127% * 5~20회 테스트 진행 / CloudFront의 경우 테스트 실패 없으며 균일한 응답성능 결과 보여줌
- 19. AWS Backbone 국내 데이터 센터 EC2 “NginX Proxy 설정하여 오리진 구성 및 1차 캐시 설정” 정적 컨텐츠 오리진 CloudFront 글로벌 엣지 로케이션 AWS SHIELD GET /update? X Public Internet AWS 백본 – 오리진이 On-Prem 일 경우 구성 서울 리전 동적 컨텐츠 오리진
- 20. 2017 Top 100 mobile apps by CDN 출처: PacketZoom https://www.bizety.com/2017/02/15/amazon-dominates-akamai-top-100-mobile-apps/
- 21. CloudFront Regional Edge Caches Origin Regional Edge Cache 오리진 부하 감소 및 캐싱 성능 향상 (추가 비용 없음) Origin Edge Locations 이전 아키텍쳐 새로운 아키텍쳐
- 22. CloudFront Regional Edge Cache 실제 고객 효과 1. 타 CDN 사용시 – 오리진 Peak 150Mbps 2. CloudFront 이전 직후 – 오리진 Peak 80Mbps : Super PoP 효과 3. CloudFront Regional Edge Cache 적용후 – 오리진 Peak 25Mbps 50Mbps 50Mbps 50Mbps
- 23. CloudFront Price Benefit Single Service Pricing HTTPS, AWS 백본 이용 다이나믹(웹사이트,API) 가속 등 AWS 오리진 Data-out 비용 면제 Data-out from ELB, EC2, S3 (Public Price) GB 단위 가격인하효과 CloudFront GB=1,024x1,024x1,024 / 타CDN GB=1,000x1,000x1,000 CloudFront GB가 약 7.4% 많아 약 7%의 가격 인하 효과 Regional Edge Cache(Midgress) 트래픽 비과금
- 24. AWS CloudFront 비용 비교 오리진 Cloud Front 타 CDN No Charge for Data-Out & AWS Backbone Standard Data Transfer Charges 전체 비용 비교 - 100TB/Month 전송 및 Cache-hit율 80% 가정 - 1TB=1,024GB 기준 계산시 Data-out 비용 CDN 비용 ($0.05/GB 동일 가격 가정시) 비고 CloudFront $0 $5,120/mon 1GB=1024x10 24x1024Byte Total: $5,120 (HTTPS, 다아니막가속 포함) 타 CDN 20TB Data-out -ELB+EC2: $2,560/mon. -S3: $2,396/mon. $5,498/mon 1GB=1000x10 00x1000Byte Total: $8,058(ELB) or $7,894(S3) (HTTPS 또는 다이나믹 가속시 가격 상승) # Data-out(서울리전): ELB: $0.008/GB / EC2: $0.117/GB / S3: $0.117/GB
- 25. 보안 : DDoS 방어, WAF
- 26. DDoS 공격 유형 물량기반 DDoS 공격 Congest networks by flooding them with more traffic than they are able to handle (e.g., UDP reflection attacks) 상태소진형 DDoS 공격 Abuse protocols to stress systems like firewalls, IPS, or load balancers (e.g., TCP SYN flood) 애플리케이션 레벨 DDoS 공격 Use well-formed but malicious requests to circumvent mitigation and consume application resources (e.g., HTTP GET, DNS query floods)
- 27. DDoS 대응방안 – 장비형 vs 서비스형 vs AWS CloudFront 장비형 • DDoS 공격에 대해 서버 앞단에서 DDoS 전용 장비 설치 차단 • 직접/즉각적인 대응이 가능하다는 장점이 있으나 인프로 규모에 맞는 구축을 위한 초기 투자 비용이 크고 대역폭 고갈 대용량 공격에 대한 대응 불가 서비스형 • ISP 혹은 CDN사에서 DDoS 공격 탐지시 트래픽을 사이버 대피소 또는 스크러빙센터로 우회시켜 DDoS 공격 방어 • 탐지/우회 소요시간 동안 DDoS 공격이 지속되고 트래픽 우회시 사용자 성능 저하 발생가능 AWS CloudFront • 대용량 Super PoP 아키텍쳐로 인라인 DDoS 방어 • Syn, UDP등 L3/L4 DDoS 공격 트래픽에 대해서는 과금없으며 약정없이 사용 가능 • CDN의 장점에 의한 시너지 효과 (성능,확장성,비용절감) • Shield Advanced 서비스 선택 가능
- 28. CloudFront DDoS 방어 - AWS Shield Standard 내부에서 모든 CloudFront PoP에서 DDoS 방어 시스템이 인라인으로 실행 중입니다. 도달하는모든 패킷은 모두 인라인에서 검사되고 학습 알고리즘으로 스코어링 됩니다. Always-on, in line protection은 가용성, 처리량 및 대기 시간에 영향을주지 않으면서 공격을 완화합니다. AWS Shield Standard에 의한 L3/L4 DDoS 보호는 추가 비용없이 기본 제공. AWS Origin (ELB, EC2, S3) CloudFront DDoS 공격 BlackWatch Edge Location Origin BlackWatch 시스템에서 95% 이상의 L3/L4 DDoS 자동 차단 Custom Origin ------------ OR ------------ 정상 사용자
- 29. CloudFront DDoS 방어 – AWS Shield Advanced(연간 약정) 상시 모니터링 및 탐지 고도화된 L7 디도스 방어 DDoS 공격 알람 및 레포팅 AWS WAF(웹방화벽) 무상 제공 24X7 AWS DDoS 대응팀 지원 비용 보호 (DDoS 공격에 의한 추가 비용 면제)
- 30. 요 약
- 31. 요약: AWS CloudFront의 가속 및 보안 수퍼 PoP: AWS 클라우드 구축/운영 Know-How 가 담긴 고성능/대용량 아키텍쳐 국내 최대 Capacity / 가장 빠르게 성장하는 글로벌 CDN 서비스 Single-Service: (캐싱, 다이나믹 가속, HTTPS, AWS Shield Standard 등) 동일 가격 체계로 제공 AWS Backbone 전용망: Edge <=> Origin 가속 인라인 DDoS 방어: Shield Standard & Advance