사례 연구

OVHcloud가 FPGA를 사용하여 DDoS 공격을 완화하는 방법

많은 비트웨어 고객이 사이버 공격이나 애플리케이션 코드 폭주 시 서비스 품질을 방어하는 등 네트워크 패킷 처리를 위해 비트웨어의 FPGA 기반 솔루션을 사용하고 있습니다. 유럽의 하이퍼스케일 클라우드 제공업체인 OVHcloud의 경우, 분산 서비스 거부(DDoS) 공격으로부터 고객을 더 잘 보호하고 있습니다. OVHcloud는 공격 완화를 위한 최첨단 필터를 구축하기 위해 XUP-P3R 카드 (사진)를 선택했으며, 보드당 최대 200Gbps를 처리합니다.

디도스 공격이란 무엇인가요?

비트웨어 FPGA 카드가 장착된 컴퓨터 서버

인터넷에 연결된 디바이스와 대역폭이 증가함에 따라 새로운 위협이 등장했습니다: 바로 분산 서비스 거부 공격입니다. 이 공격은 일반적으로 손상된 다수의 디바이스(예: 기본 보안이 최소화된 가정용 IP 카메라)에 의존하여 공격자가 단일 엔드포인트에 대한 대량 공격을 지시합니다. 공격자의 관점에서 보면 각 디바이스는 웹 페이지와 같이 서버에 무언가를 무고하게 요청하는 것처럼 보입니다. 그러나 공격이 발생하면 시스템이 요청으로 넘쳐나면서 불안정해지거나 사용할 수 없게 됩니다. 시스템에 과부하가 걸려서 들어오는 정상적인 요청을 처리할 수 없게 됩니다.

OVHcloud는 DDoS 공격을 어떻게 완화하나요?

모든 클라우드 제공업체와 마찬가지로 OVHcloud는 DDoS 공격으로부터 고객을 방어하는 데 투자합니다. 안티 DDoS 솔루션은 네트워크를 모니터링하여 공격을 찾아내는 방식으로 작동합니다. 일반적으로 공격을 탐지하는 데 몇 초가 걸립니다. 공격이 탐지되면 OVHcloud 솔루션은 라우팅 규칙을 업데이트하여 의심스러운 트래픽을 '스크러빙' 장치로 보내도록 합니다.

OVHcloud는 진공의 줄임말인 VAC라는 독자적으로 개발한 스크러빙 솔루션을 보유하고 있습니다. 각 VAC에는 600GbE로 상호 연결된 여러 구성 요소가 포함되어 있습니다. 이러한 구성 요소 중 가장 진보된 구성 요소는 세 대의 "Armor" 서버 배열입니다. 각 Armor 서버에는 2소켓 마더보드에 하나의 XUP-P3R 카드가 장착되어 있습니다. 이 카드에는 AMD FPGA와 4개의 100GbE 포트가 있으며, OVHcloud는 이 중 2개를 사용합니다.

OVHcloud는 DDoS 공격으로부터 고객을 보호하는 것이 결코 선택적인 서비스가 되어서는 안 된다고 믿습니다. 이것이 바로 모든 고객에게 혁신적인 고성능 보호 기능을 제공하는 이유입니다. 서비스 가용성에 대한 이러한 "설계에 의한" 접근 방식은 Molex 그룹의 일부인 BittWare의 FPGA 기반 네트워크 처리 카드를 기반으로 합니다.

-스테판 나포, OVHcloud의 CISO

두 개의 100GbE 포트와 세 대의 Armor 서버를 곱하면 OVHcloud는 배포하는 각 VAC에서 600Gbps의 고급 스크러빙 잠재력을 제공합니다. 또한 OVHcloud 솔루션은 비트웨어가 채택한 DPDK.org 소프트웨어 인프라를 활용합니다.

OVH클라우드 아머가 수행하는 특정 스크러빙 기능에 대한 자세한 내용은 Anti-DDoS 기술에 대한 OVH클라우드 페이지를 참조하세요.

BittWare 솔루션을 사용하여 나만의 솔루션 시작하기

OVHcloud처럼 고유한 안티 DDoS 솔루션을 만드는 데 관심이 있는 경우, FPGA 카드를 DPDK 기반 네트워크 카드로 전환하는 IP 모음인 BittWare의 SmartNIC Shell로 시작할 수 있습니다. SmartNIC Shell IP로 시작하면 처음부터 시작하지 않고 Anti-DDoS 필터링 IP만 공급하는 데 집중할 수 있습니다. SmartNIC Shell IP는 패킷 분류기의 두 가지 구현을 특징으로 하는데, 하나는 AMD의 SDNet의 P4 언어를 사용하는 것이고 다른 하나는 C++ HLS를 사용하는 것입니다.

하드웨어 측면에서 고객이 네트워킹 애플리케이션을 위해 비트웨어를 선택하는 주요 이유는 QDR-II+ SRAM 메모리에 대한 지원입니다. 테이블이 너무 커서 내부 FPGA 메모리에 들어갈 수 없는 경우 SRAM이 필요했습니다. QDR-II+ 옵션이 있는 카드에는 XUP-P3RXUP-VV8이 있습니다.