사례 연구

OVHcloud가 FPGA를 사용하여 DDoS 공격을 완화하는 방법

XUP-VV8 사진
XUP-P3R 카드 사진

많은 비트웨어 고객이 사이버 공격이나 애플리케이션 코드의 폭주로부터 서비스 품질을 방어하는 등 네트워크 패킷 처리를 위해 FPGA 기반 솔루션을 사용하고 있습니다. 유럽의 하이퍼스케일 클라우드 제공업체인 OVHcloud의 경우, 분산 서비스 거부(DDoS) 공격으로부터 고객을 더 잘 보호하고 있습니다. OVHcloud는 공격 완화를 위한 최첨단 필터를 구축하기 위해 XUP-P3R 카드 (사진)를 선택했으며, 보드당 최대 200Gbps를 처리합니다.

디도스 공격이란 무엇인가요?

비트웨어 FPGA 카드가 있는 컴퓨터 서버

인터넷에 연결된 디바이스와 대역폭이 증가함에 따라 새로운 위협이 등장했습니다: 바로 분산 서비스 거부 공격입니다. 이 공격은 일반적으로 손상된 다수의 디바이스(예: 기본 보안이 최소화된 가정용 IP 카메라)에 의존하여 공격자가 단일 엔드포인트에 대한 대량 공격을 지시하는 방식입니다. 공격자의 관점에서 보면 각 디바이스는 웹 페이지와 같은 서버에 무언가를 무고하게 요청하는 것처럼 보입니다. 하지만 공격이 발생하면 시스템이 요청으로 넘쳐나면서 불안정해지거나 사용할 수 없게 됩니다. 시스템에 과부하가 걸려서 들어오는 정상적인 요청을 처리할 수 없게 됩니다.

OVHcloud는 DDoS 공격을 어떻게 완화하나요?

모든 클라우드 제공업체와 마찬가지로 OVHcloud는 DDoS 공격으로부터 고객을 방어하는 데 투자합니다. 안티 DDoS 솔루션은 네트워크를 모니터링하여 공격을 찾아내는 방식으로 작동합니다. 일반적으로 공격을 탐지하는 데 몇 초가 걸립니다. 공격이 탐지되면 OVHcloud 솔루션은 라우팅 규칙을 업데이트하여 의심스러운 트래픽을 '스크러빙' 장치로 보내도록 합니다.

OVHcloud는 진공의 줄임말인 VAC라는 독자적으로 개발한 스크러빙 솔루션을 보유하고 있습니다. 각 VAC에는 600GbE로 상호 연결된 여러 구성 요소가 포함되어 있습니다. 이러한 구성 요소 중 가장 진보된 구성 요소는 세 대의 "Armor" 서버 배열입니다. 각 Armor 서버에는 2소켓 마더보드에 하나의 XUP-P3R 카드가 장착되어 있습니다. 이 카드에는 AMD FPGA와 4개의 100GbE 포트가 있으며, OVHcloud는 이 중 2개를 사용합니다.

OVHcloud는 DDoS 공격으로부터 고객을 보호하는 것이 결코 선택적인 서비스가 되어서는 안 된다고 생각합니다. 이것이 바로 모든 고객에게 혁신적인 고성능 보호 기능을 제공하는 이유입니다. 서비스 가용성에 대한 이러한 '설계적' 접근 방식은 Molex 그룹의 일부인 BittWare의 FPGA 기반 네트워크 처리 카드를 기반으로 합니다.

-스테판 나포, OVHcloud의 CISO

두 개의 100GbE 포트에 세 대의 Armor 서버를 곱하면 OVHcloud는 배포하는 각 VAC에서 600Gbps의 고급 스크러빙 잠재력을 제공합니다. 또한 OVHcloud 솔루션은 BittWare가 채택한 DPDK.org 소프트웨어 인프라를 활용합니다.

OVHcloud Armor가 수행하는 특정 스크러빙 기능에 대한 자세한 내용은 Anti-DDoS 기술에 대한 OVHcloud 페이지를 참조하세요.

BittWare 솔루션을 사용하여 나만의 솔루션 시작하기

OVHcloud처럼 고유한 안티 DDoS 솔루션을 만드는 데 관심이 있다면, FPGA 카드를 DPDK 기반 네트워크 카드로 전환하는 IP 모음인 BittWare의 SmartNIC Shell로 시작할 수 있습니다. SmartNIC Shell IP로 시작하면 처음부터 시작하지 않고 안티 DDoS 필터링 IP만 공급하는 데 집중할 수 있습니다. SmartNIC Shell IP는 패킷 분류기의 두 가지 구현을 특징으로 하는데, 하나는 AMD의 SDNet의 P4 언어를 사용하는 것이고 다른 하나는 C++ HLS를 사용하는 것입니다.

하드웨어 측면에서 고객이 네트워킹 애플리케이션을 위해 비트웨어를 선택하는 주요 이유는 QDR-II+ SRAM 메모리에 대한 지원 때문입니다. 내부 FPGA 메모리에 넣기에는 너무 큰 테이블에는 SRAM이 필요했습니다. QDR-II+ 옵션이 있는 카드에는 XUP-P3RXUP-VV8이 있습니다.