학생들을 위한 호스팅(HFS) - 네트워크 설계

ParkMini·2023년 10월 10일
HFSHostingForStudent네트워크설계도

HostingForStudent

목록 보기
2/2
post-thumbnail

저번 시간에는 학생 개발자들의 의견을 들어보는 설문조사를 진행했었습니다.

이번 시간에는 서버와 네트워크 장비를 Tier 3 인증을 받은 IDC에 입주시킬 예정으로 UPS, 발전기와 같은 전기는 제외하고 설문조사때의 데이터를 바탕으로 네트워크 설계를 진행해보도록 하겠습니다.

설문조사에서 가장 큰 우려사항에 디도스 공격 등으로 인한 보안낮은 네트워크 지연 시간이 1, 2위를 차지하였습니다.

이 두개는 클라우드 컴퓨팅에서는 가장 중요한 것들입니다.

  • 디도스 공격 등으로 인한 보안

    • 분산 서비스 거부 공격(DDoS), 서비스 거부 공격(DoS)로 인해 네트워크 망이 마비될 경우 정상적인 서비스 운영이 불가능하므로 디도스 방어가 필요합니다.

  • 낮은 네트워크 지연 시간

    • 네트워크 지연 시간(Ping)이 높을 경우 웹 페이지나 온라인 서비스에 접속할 때 로딩 시간이 길어지는 등의 불편함이 발생합니다.

디도스 공격으로부터 보호하기

디도스 공격을 방어하는 것은 많은 방법이 있습니다.

  • CloudFlare의 Spectrum과 같은 Reverse Proxy
  • 분산된 서버에 동일한 IP 주소를 할당하는 AnyCast
  • IPS, IDS, UTM과 같은 장비를 사용하는 디도스 공격 완화가 있습니다.

Cloudflare Spectrum

CloudFlare의 Spectrum은 Reverse Proxy 방식으로 디도스 공격을 방어합니다.
Cloudflare Spectrum은 Tbps급의 디도스 방어가 가능하여 안정성이 매우 높습니다.
하지만 학생들에게 무료로 제공하기엔 높은 이용료로 지속적인 서비스 운영이 어려울 수 있습니다.

AnyCast (분산된 서버를 활용한 방어)

AnyCast는 여러 위치에 서버를 놔두고 동일한 IP 주소를 할당하여 디도스 공격을 방어하는 방식입니다.
이 방식은 공격자로부터 가장 가까운 서버로 라우팅하여 공격 트래픽을 분산시키는 방식으로 많은 트래픽 비용이 청구될 수 있으며 많은 초기 비용이 필요하고 주기적인 관리 또한 필요합니다.

IPS, IDS, UTM (디도스 공격 완화 장비)

마지막으로 IPS, IDS, UTM 등의 장비를 이용하는 디도스 공격 완화입니다.
셋 다 네트워크 보안을 위한 장비로써 디도스 완화가 가능합니다.
이 중에서 UTM은 통합 위협 관리 시스템으로 IPS/IDS 기능을 포함하여 디도스 완화 뿐만 아닌 다양한 공격 방식으로부터 보호 받을 수 있습니다.

모든 장비가 비싼 가격이나 Hosting For Student의 서비스 계획을 보고 UTM 장비를 지원해준 업체가 있어 UTM으로 디도스 트래픽을 처리하는 방식으로 진행해보겠습니다.

평범한 네트워크 구조도

밑에서부터 순서대로 올라가보겠습니다.
밑에서부터 순서대로 구성 요소를 살펴보겠습니다.

  1. Virtual Machine (가상 머신)

    • 연결: Virtual Switch
    • IP 정보: Private IP Address (192.168.0.XXX)

  2. Virtual Switch

    • 기능: Host (물리 서버)의 Ethernet 인터넷을 공유 (ICS)하여 외부와의 통신이 가능

  3. Host (물리 서버)

    • 연결: L3/L4 Switch

  4. L3/L4 Switch

    • 연결: UTM
    • 기능: UTM을 통과한 트래픽을 서버로 전달

  5. UTM (Unified Threat Management)

    • 기능: 외부 통신을 하며 인바운드 트래픽 중 공격성 트래픽을 필터링

이 네트워크 구조는 여러 공격을 UTM 장비 하나에만 의존하도록 되어 있습니다.
UTM 장비가 처리 할 수 있는 용량을 초과하는 공격이 유입 될 경우에는 Null-0(Null-Route) 되어 네트워크가 차단 될 수 있습니다.

이를 방지하기 위해 두가지의 시스템을 적용하였습니다.

UTM에 의존하지 않고 네트워크를 보호해보자

여러 방법 중 하나는 모든 트래픽을 일본이나 싱가포르 등의 L4/L7 공격 방어 프록시를 이용하는 것입니다.
한국보다 싼 트래픽 비용으로 좋은 방법이나 해외을 거쳐 통신하는 방식은 지연 시간이 높아질 수 밖에 없습니다.

이를 해결하기 위해선
1. 웹 서핑 등의 트래픽: 가상 머신에서 발생하는 웹 서핑 등의 트래픽은 일본 프록시와의 통신을 통해 공격으로부터 보호합니다.
2. 포트포워딩 트래픽: 서버로 유입되는 포트포워딩 된 포트의 트래픽은 국내 프록시와의 통신을 통해 공격으로부터 방어합니다.

이렇게 구성하면 클라이언트와 서버 간의 통신은 국내 프록시를 통해 이루어져 낮은 지연 시간을 유지할 수 있습니다.
서버에서 웹 브라우징과 같은 인터넷 사용 시에는 일본 프록시를 통해 통신하게 되며 이를 통해 비교적 저렴한 비용으로 디도스 공격으로부터의 방어할 수 있습니다.

정리

지금처럼 네트워크를 구성하면 일본 프록시 서버와 국내 프록시 서버로 1차 디도스 방어를 할 수 있으며
프록시 서버를 통과한 공격성 트래픽은 UTM에서 걸러지게 됩니다.
UTM을 통과한 트래픽은 L3/L4 스위치를 통해 서버와 통신을 할 수 있게 됩니다.

마치며

이렇게 학생들을 위한 호스팅(HFS)의 네트워크 구조도를 만들어보았습니다.
제일 걱정하는 디도스 공격 등의 네트워크 공격으로부터 100% 안전할 순 없겠지만 최대한 높은 업타임을 제공하기 위해 노력하겠습니다.

profile
ParkMini
!me.equals(normal)
이전 포스트

학생들을 위한 호스팅(HFS) - 설문조사

0개의 댓글