웹방화벽(Web Application Firewall)을 통한 웹사이트 보호



SQL injections 사이트 간 스크립팅 공격 등의 웹 사이트를 보호합니다.


Cloudflare(클라우드플레어)의 웹 애플리케이션 방화벽(WAF)은 웹 기반의 취약성, XSS(사이트 간 스크립팅)및 애플리케이션 계층을 대상으로 하는 위협 요소를 비롯하여 웹 사이트에서 웹 사이트를 보호합니다.


고객들은 Alexa-ranked Top 50, 금융 기관, 전자 상거래 회사, 주요 기업들을 포함한다. 클라우드플레어(CloudFlare) DDF보호 기능을 갖춘 WAF는 매일 수백만건의 공격을 차단하고 새로운 위협 요소로부터 자동으로 학습합니다.


클라우드플레어(Cloudflare) DDF보호 기능을 갖춘 WAF는 매일 수백만건의 공격을 차단하고 새로운 위협 요소로부터 자동으로 학습합니다.



요구 사항에 맞게 커스터마이징할 수 있는 강력한 규칙 엔진


클라우드플레어(Cloudflare)는 WAF 가장 중요한 웹 애플리케이션 보안 결함으로부터 보호하기 위해 박스 외부에서 ModSecurity규칙 집합을 실행합니다.


또한 기존 규칙 집합과 사용자 정의 규칙을 처리할 수도 있습니다. 규칙은 30초 이내에 발효됩니다.



클라우드 구축 및 DDoS완화 및 CDN


클라우드 기반 서비스로서의 CloudPlare는 설치 및 유지 보수를 위한 하드웨어 또는 소프트웨어가 필요하지 않습니다. 


클릭 한번만으로 간편하게 WAF를 구축하여 고객 요구 사항을 충족할 수 있습니다. 


포괄적인 클라우드플레어(Cloudflare)서비스에 통합하면 추가 기능을 무료로 제공할 수 있습니다. DDoS공격으로부터 웹 사이트를 보호하고 글로벌 콘텐츠 제공 네트워크를 사용하여 더 빠르게 실행할 수 있습니다.


 




주요사항

*자동보호
다양한 위협으로부터 강력한 기본 규칙 집합과 광범위한 사용자 정의를 제공하여 DDoS완화와 완벽하게 통합된 Tier7보호 기능을 제공합니다.

* 즉각적인 글로벌 업데이트를 통한 초고속 대기 시간 0.3ms단축할 수 있습니다.

* Cloudwlare의 WAF를 통해 PCI컴플라이언스를 경제적으로 실현할 수 있습니다.

* 실시간 리포팅
강력한 로깅을 통해 즉각적으로 발생하는 현상을 파악할 수 있습니다.

* 하드웨어, 소프트웨어 또는 튜닝이 필요하지 않은 클라우드를 구현합니다.



글로벌호스트와 상담하시면 보다 나은 서비스를 구축할 수 있습니다.


글로벌호스트 : www.globalhost.co.kr

전화문의 : 02-6091-1180 (내선: 1)



Posted by IT인프라 글로벌호스트

댓글을 달아 주세요

클라우드플레어(Cloudflare)로 부하 분산


소비자는 온라인 환경에 빠르고 안정적으로 접속하기를 원합니다.


Gartner 2014년 연구 보고서에 따르면 가동 중지 시간으로 인한 평균 손실액이 분당 5,600달러이며, 시간당으로는 30만 달러를 넘는 다고 했습니다..

Google의 보고에 따르면, 100~400밀리초에 불과한 사이트 대기 시간이 소비자 행동에 측정 가능한 영향을 미치는 것으로 드러났습니다.

Amazon에서는 대기 시간이 100밀리초 추가될 때마다 1%의 매출 손실이 발생하는 것을 발견했습니다.


이러한 보고서들 처럼 신뢰할 수 없거나 잘못 구성된 서버에 도달하게 되면 방문자는 서비스에 심각한 불만족을 느끼게 되고 트래픽이 크게 줄어들 수 있습니다. 또한 과도하게 이용되거나 지리적으로 멀리 떨어진 서버로 인해 대기 시간이 더욱 길어질 수 있습니다. 사이트 방문자 환경의 서비스 품질이 낮으면 기업의 매출과 이미지 그리고 고객 충성도가 직접적인 타격을 받게 됩니다.


이러한 문제를 해결할 수 있는 방법이 부하분산입니다.

클라우드플레어(Cloudflare) 부하 분산 로컬 및 전역 트래픽 부하 분산, 지리적 라우팅, 서버 상태 검사, 장애 조치(failover)를 통해 서비스 중단으로부터 웹 사이트, 웹앱 또는 API를 보호하여, 중요한 리소스의 지속적인 가용성을 유지할 수 있습니다.


CLOUDFLARE로 부하 분산

• 상태 검사와 빠른 장애 조치(failover): 서비스의 가용성을 파악하고 정상 상태인 서버로만 트래픽을 빠르게 라우팅

• 로컬 및 전역 부하 분산: 여러 서버에 걸쳐 트래픽 부하를 분산하거나 가장 가까운 위치로 트래픽을 라우팅하여 대기 시간 감소



상태 검사와 빠른 장애 조치(FAILOVER)

클라우드플레어(Cloudflare)를 통해 고객은 서비스의 가용성을 파악하고 정상 상태인 서버로만 트래픽을 빠르 라우팅할 수 있습니다. 또한 활성 상태의 가용성 모니터링은 전 세계에 있는 클라우드플레어(Cloudflare) 데이터 센터의 서버 상태를 검사합니다. 정기적인 HTTP/HTTPS 요청을 통해 사용자 지정이 가능한 간격, 제한 시간, 상태 코드를 적용하여 특정 URL에 맞춰 모니터링 방식을 구성할 수 있습니다

가용성 모니터링은 15초마다 원본 서버의 상태를 점검할 수 있으며, 이메일 알림과 REST API를 통해 보고됩니다. 서버가 비정상으로 표시되면 즉시 다중 지역 장애 조치 (failover)가 실행되어 사용 가능한 서버로 트래픽을 지능적으로 라우팅합니다.

클라우드플레어(Cloudflare) 부하 분산은 전 세계에서 가장 빠른 DNS 공급자인 Cloudflare DNS로 구동됩니다. 클라우드플레어(Cloudflare)는 공용 TTL(Time-to-Live)이 만료될 때까지 대기할 필요가 없으므로, Cloudflare DNS 변경 사항은 공용 DNS보다 매우 빨리 전파됩니다. , 웹 호스트 마이그레이션이나 재해 복구 서버로의 전환이 거의 동시에 발생합니다.



역 및 로컬 부하 분산

클라우드플레어(Cloudflare) 부하 분산은 방문자를 가장 가까운 인프라로 연결하여 대기 시간을 자동으로 줄입니다.

, 유럽 고객은 런던 데이터 센터로, 오스트레일리아 고객은 시드니 데이터 센터로 연결합니다. 부하 분산은 Cloudflare Anycast 네트워크를 기반으로 구축되어, Cloudflare CDN을 통해 정적 자산을 빠르게 전송할 수 있고 방문자를 인프라와 가깝게 유지함으로써 동적 요청의 대기 시간을 줄입니다.

Cloudflare의 전역 부하 분산은 DNS 수준에서 작동하며 HTTP(S)부터 TCP UDP 기반 서비스까지모든 프로토콜을 지원합니다. 따라서 기존 서비스를 사용하거나 다른 클라우드 공급자와 함께 사용할 수 있으며, 계산이나 저장 또는 어느 조합으로든 사용할 수 있습니다.



주요기능

•장애 조치(failover)가 빠르게 실행됩니다. Cloudflare DNS 인프라를 통해 프록시 처리된 요청이 몇 초 내에 정상 상태인 서버로 다시 라우팅됩니다.

•부하 분산에서 풀에 정의된 정상 상태의 서버로 요청을 균등하게 배포합니다.

•상태 검사에서 Cloudflare 네트워크에 있는 개별 서버의 가용성을 세밀하게 모니터링합니다.

•전역 부하 분산을 통해 트래픽을 특정 지리적 위치로 라우팅할 수 있습니다.

•관리 및 구성: 부하 분산은 대시보드 또는 API를 통해 관리됩니다.



글로벌호스트와 상담하시면 보다 나은 서비스를 구축할 수 있습니다.

글로벌호스트 : http://www.globalhost.co.kr/cloudflare

전화문의 : 02-6091-1180 (내선: 1)



Posted by IT인프라 글로벌호스트

댓글을 달아 주세요

웹사이트를 HTTPS 전용사이트로 보호하고 있습니까?


사람들은 사이트 및 서비스에서 HTTP의 안전한 버전 인 HTTPS를 사용할 수 있게 됨에 따라 인터넷이 점점 더 안전해지고 있습니다.


작년에 Mozilla는 암호화 된 HTTPS를 사용하여 Firefox에서 요청한 비율 이 처음으로 50 %를 넘었다 고보고했습니다 . HTTPS HTTP / 2를 통한 성능 향상 , Google과 같은 검색 엔진에 대한 SEO 혜택 및 검색 주소창의 안심 잠금 아이콘을 비롯하여 암호화되지 않은 HTTP보다 많은 이점을 제공 합니다.



그렇다면 사이트 나 서비스에 HTTPS를 어떻게 추가합니까

간단합니다. 클라우드플레어(Cloudflare)는 구성이없는 모든 고객에게 무료 및 자동 HTTPS 지원을 제공합니다. 계획에 가입하면 클라우드플레어(Cloudflare)에서 SSL 인증서를 발행하고 HTTPS를 통해 사이트를 제공합니다.



HTTPS를 사용한다고해서 모든 방문자가 보호되고있는 것은 아닙니다.


방문자가 웹 사이트의 이름을 브라우저의 주소 표시 줄에 입력하거나 HTTP 링크를 따라 가면 웹 사이트의 안전하지 않은 HTTP 버전으로 연결됩니다. 사이트를 HTTPS 전용으로 만들려면 방문자를 HTTP에서 사이트의 HTTPS 버전으로 리디렉션해야합니다.



클라우드플레어(Cloudflare)Goning HTTPS는 한번의 클릭으로 적용


Going HTTPS는 단지 한 번의 클릭만으로 쉽게 이루어질 수 있으므로 클라우드플레어

(Cloudflare) 대시 보드에 문자 그대로 추가했습니다. "항상 HTTPS 사용"기능을 사용하면 웹 사이트의 HTTP 버전의 모든 방문자가 HTTPS 버전으로 리디렉션됩니다. 이 옵션은 HTTP Strict Transport Security 설정 바로 위에 있으며 Google API를 통해 사용할 수도 있습니다


 요청의 일부 하위 집합 만 리디렉션하려는 경우에도 페이지 규칙을 만들어이 작업을 수행 할 수 있습니다 .



HTTPS 적용 이후 단계


사이트가 HTTPS 전용 기능만으로도 제대로 작동하는지 확인한 후에는 한 단계 더 나아가 HTTP 엄격 전송 보안 ( HSTS )을 사용할 수 있습니다. HSTS는 사이트가 HTTPS를 통해 사용 가능하며 일정 기간 동안 브라우저에 알려주는 헤더입니다. 브라우저가 사이트에 대한 HSTS 헤더를 확인하면 리디렉션을 따르지 않고 HTTPS 버전의 HTTP 페이지를 자동으로 가져옵니다. 항상 HTTPS 토글 사용 아래의 암호화 앱에서 HSTS를 활성화 할 수 있습니다.


또한 클라우드플레어(Cloudflare)와 사이트 간의 연결을 안전하게 유지하는 것도 중요합니다. 이를 위해 클라우드플레어(Cloudflare) Origin CA 를 사용 하여 원본 서버에 대한 무료 인증서를 얻을 수 있습니다. 원본 서버가 HTTPS 및 유효한 인증서로 설정되면 SSL 모드를 전체 (엄격)로 변경하여 최고 수준의 보안을 얻습니다.



글로벌호스트와 상담하시면 보다 나은 서비스를 구축할 수 있습니다.

글로벌호스트 : http://www.globalhost.co.kr/cloudflare

전화문의 : 02-6091-1180 (내선: 1)



Posted by IT인프라 글로벌호스트

댓글을 달아 주세요

클라우드플레어 대규모 Layer 3/4 DDoS 공격 방어 사례

대규모  공격을  다수의  클라우드플레어 PoP들로  분산

모든  UDP-based 트래픽을  Edge에서  막음.

역사상  현재까지  가장   규모의  500Gbps DDoS 공격을  방어

(고객의  요청에  의해서  고객  정보  공개는 어렵습니다.)

DDoS(분산 서비스 거부) 공격은 점점 증가하고 있으며, 복잡하고 대응하기 힘든 보안 위험으로 발전했습니다. DDoS 공격이 최근 시작된 현상은 아니지만, 이러한 공격을 실행하고 위장하는데 사용되는 방법과 리소스가 급격히 발전해 왔습니다. DDoS 공격이 진화하는 데 결정적인 계기가 된것은 Mirai 봇넷의 형성입니다. 이 봇넷은 현재 알려진 최대 규모의 DDoS 공격을 만들어내는 데 사용된 300,000개 이상의 해킹된 IoT 장치로 구성되었으며, 최대 공격 트래픽 처리량은 1Tbps가 넘습니다. 이러한 규모의 공격은 새로운 표준이 되어가고 있습니다.

DDoS 공격은 단발성 공격에 그치지 않는 경우가 많고, 한번 공격한 대상은 대개 일 년에 여러 차례 공격 대상이 됩니다. 클라우드플레어의 경험으로 미루어 볼 때 크고 작은 모든 조직이 대상이 될 수 있습니다. DDOS 공격을 불법으로 규정하고 있음에도 여러 DDOS 공격서비스(DDOS-asa‑Service) 공급자가 있으며, 일부 공급자는 월 최저 5~10달러부터 시작합니다

매출 손실은 이러한 공격이 웹 사이트나 비즈니스에 미칠 수 있는 다양한 위협 중 하나에 불과합니다. 심지어 Amazon의 웹 사이트(2015년 기준 990억 달러 규모의 매출액)도 과거에 알 수 없는 이유로 여러 번 다운된 적이 있습니다. 예를 들어 2013년에 Amazon.com이 약 15~45분 동안 다운되었을 때는 180~530만 달러의 매출 손실을 보았습니다(11 7,882달러의 분당 평균 매출액 기준). 그뿐만 아니라, 사이트 차단과 같은 문제는 브랜드 평판 악화와 고객 만족도 저하 등 정량화하기 어려운 손실도 뒤따르게 됩니다.

확장성 있고 정확한 DDoS 솔루션

클라우드플레어의 10Tbps 전역 네트워크는 역대 최대 규모의 DDoS 공격보다 10배 큰 규모로, 엄청난 규모의 최신 DDoS 공격으로부터 클라우드플레어 네트워크 상의 모든 인터넷 자산을 보호해 줍니다. 클라우드플레어의 레이어 3, 4, 7 DDoS 보호는 네트워크 에지에서 대규모 위협으로부터 서버를 보호하는 서비스로 활용할 수 있으며, 모든 형태와 규모의 DDoS 공격을 완화하는 데 사용할 수 있습니다. 속도 제한은 응용 프로그램 레이어에 대한 가장 정교한 공격을 정확하게 완화할 수 있게 해줌으로써 클라우드플레어의 DDoS 보호를 강화합니다.

레이어 3 4 DDoS 공격으로부터 보호

레이어 3 및 레이어 4 DDoS 공격은 일반적으로 DDoS 증폭, DDoS 폭주, DDoS SYN 폭주 공과 같은 입체적인 공격입니다. 이러한 공격은 일반적인 유니캐스트 기반 네트워크를 압도할 수 있지만, 클라우드플레어의 Anycast 기반 네트워크는 102개가 넘는 데이터 센터 및 다른 네트워크와의 다양한 고대역폭 연결로 공격 트래픽을 분산함으로써 기본적으로 공격 표면을 늘려 공격 트래픽을 거뜬히 흡수합니다

레이어 7 응용 프로그램 취약성으로부터 보호

레이어 7 공격의 일반적인 유형에는 SQL 삽입과 XSS(교차 사이트 스크립팅)가 포함되며, 이러한 공격을 통해 공격자는 고객 또는 다른 모든 종류의 응용 프로그램 데이터에 액세스하여 성능을 저해할 수 있습니다. 클라우드플레어는 WAF(웹 응용 프로그램 방화벽)를 통해 이러한 위협을 처리합니다. WAF 에서는 OWASP의 상위 10개 규칙 집합, 클라우드플레어의 응용 프로그램 규칙 집합, 커뮤니티/고객이 만든 사용자 지정 규칙에서 발견된 위협을 자동으로 차단합니다. 또한 Shellshock 취약성과 Heartbleed 버그를 비롯한 주요 제로 데이 취약성으로부터 고객을 보호할 수 있었습니다.

속도 제한

세분화된 트래픽 제어가 가능한 속도 제한을 활성화하여 클라우드플레어의 DDoS 보호와 WAF(웹 응용 프로그램 방화벽) 서비스를 보완할 수 있습니다. 속도 제한은 서비스 거부 공격, 무차별 암호 대입 시도 및 응용 프로그램 계층을 대상으로 하는 기타 악의적인 동작으로부터 지켜줍니다

예측 보안

클라우드플레어는 네트워크 트래픽이 실시간으로 분석되어 비정상적이거나 악의적인 요청을 식별하는 자동 학습 플랫폼을 제공합니다. 새로운 공격이 확인되면 특정 웹 사이트와 전체 커뮤니티에 대해 해당 공격 유형을 자동으로 차단하기 시작합니다. 클라우드플레어가 네트워크와 커뮤니티를 계속 확장해갈수록 클라우드플레어 사용자에 대해 효과적인 DDoS 공격을 실행하는 것은 점점 더 어려워집니다.

고정 대역폭 가격

클라우드플레어는 엔터프라이즈급 DDoS 보호를 고정된 월간 요금으로 무제한 제공합니다. 클라우드플레어는 DDoS 공격과 관련된 네트워크 트래픽의 급증에 따른 비용을 고객이 부담해서는 안 된다고 생각합니다.



글로벌호스트와 상담하시면 보다 나은 서비스를 구축할 수 있습니다.

글로벌호스트 : http://www.globalhost.co.kr/cloudflare

전화문의 : 02-6091-1180 (내선: 1)

Posted by IT인프라 글로벌호스트

댓글을 달아 주세요

클라우드플레어의 CDN+보안 가격과 타사의 CDN단독 가격 비교

               1+1 < 1



어떻게 양질의 CDN과 보안서비스를 경쟁력 있는 가격으로 제공할 수 있을까요?



첫째. 가장 많은 IX(Internet Exchange)연결


아래 비교표와 같이 많은 IX Connection을 통해 고객에게  몇가지의 중요한 서비스를 제공할 수 있습니다.




1)경쟁력 있는 가격


더 많은 IX Connections을 통해 Bandwidth 가격을 낮출 수 있습니다. 많은 고객들이 클라우드플레어 가격이 싸다고 합니다. 여러 이유가 있지만 가장 만은 IX Connection이 가장 큰 요소입니다


그러므로 클라우드플레어는 CDN과 보안을 함께 제공하지만 타사의 CDN 하나의 가격보다 경쟁력있는 가격을 제공할 수 있습니다.



2)최적의 라우팅 경로


IX Connection이 많다는 의미는 더 많은 최적화 경로를 고객에게 제공할 수 있다는 것을 의미합니다. 


지속적으로 인터넷 Middle Mile은 점점 데이터 사이즈가 큰 멀티 미디어 데이터로 인해 성능 문제가 발생하고 있습니다


따라서 Middle Mile에서 최적의 경로를 찾는 것은 중요합니다. GPS같이 인터넷 네트워크 상태를 계속 모니터링 하다가 요청이 있을 경우 가장 작은 Latency가 제공하는 라우팅 경로를 찾아 서비스 함으로써 최종 사용자 응답 시간을 줄여 줄 수 있습니다.



3)아키텍처


클라우드 플레어가 경쟁력 있는 가격과 성능을 제공할 수 있는 또 다른 큰 이유는 하나의 표준 서버에 필요로 하는 모든 기능들을 최적화된 소프트웨어들로 개발하여 제공한다는 것입니다.




4)예측 가능한 투자 비용 (추가 비용 없음)


No 설치비용 | No 플랫폼비용 | No overage비용 | No Professional 서비스비용 | No 변경비용



관리자와 C레벨에서는 CDN 서비스를 위해 1년 동안 지불할 비용을 쉽게 예측할 수 있습니다. 단지 월비용 *12달을 하시면 1년 비용입니다.


클라우드플레어는 무료로 테스트 해보실 수 있습니다.


http://www.globalhost.co.kr/cloudflare


둘째. 새로운 공격에 대한 대응



이미 알려진 공격 패턴에 대해서는 공격이 시작 되었을 때 쉽게 막을 수 있습니다하지만 새로운 공격들은 더욱 치밀하고 교묘합니다


대부분의 경우 한동안 피해를 입고 난 후에야 발견하고 있습니다.


그러므로 클라우드 기반 보안 솔루션을 선택할 때 확률상 이런 새로운 공격들을 많이 발견할 확률이 높은 공급 업체를 선택하는 것이 중요합니다.


그럼 누가 가장 새로운 공격 패턴을 빨리 파악할 수 있을까요? 전세계 인터넷 트래픽을 보안 관점에서 가장 많이 서비스하고 모니터링 하는 회사입니다.

 

클라우드플레어는 전세계 인터넷 트래픽의 10%를 처리하고 있습니다.


클라우드 플레어보다 더 많은 트래픽을 처리하는 CDN회사는 A社입니다. A社는 전세계 트래픽의 약 30%를 처리 한다고 합니다.


그렇다면 A社가 새로운 공격에 대한 대응 확률이 더 높을 수 있다고 생각할 수 있습니다.

하지만 클라우드플레어는 모든 CDN 고객들에게 보안 서비스를 제공합니다


그러므로 클라우드플레어는 매일 전세계 트래픽의 10%를 보안관점에서 모니터링하고 있습니다.


A社는 보안서비스를 독립적으로 판매하고 있고 약 3%미만의 고객이 CDN과 보안서비스를 동시에 구매하여 사용하고 있습니다.


따라서 A社는 전세계 트래픽의 약 3% 미만을 보안관점에서 모니터링하고 있습니다.



클라우드플레어가 새로운 공격을 최초로 발견할 확률이 A社보다 최소 3배이상 높습니다.




기타) 비용산정방식



저희는 비용 산정을 위해 간단한 3가지 질문으로 도움을 드릴 수 있습니다.


1) 도메인 수

2) 한달 평균 총 트래픽 양

3) 지역별 접속자 패턴

 

또한 타서비스에서 클라우드플레어 서비스로 옮겨 오는데 필요한 시간은 30분입니다.





글로벌호스트와 상담하시면 보다 나은 서비스를 구축할 수 있습니다.


글로벌호스트 : www.globalhost.co.kr

전화문의 : 02-6091-1180 (내선: 1)


Posted by IT인프라 글로벌호스트

댓글을 달아 주세요