AWS의 CDN 서비스인 CloudFront의 가속 및 DDoS 방어 소개 # CloudFront 장점 - 수퍼 PoP: AWS 클라우드 구축/운영 Know-How 가 담긴 고성능/대용량 아키텍쳐 * 국내 최대 Capacity / 가장 빠르게 성장하는 글로벌 CDN 서비스 - Single-Service: (캐싱, 다이나믹 가속, HTTPS, AWS Shield Standard 등) 동일 가격 체계로 제공 - AWS Backbone 전용망: Edge <=> Origin 가속 - 인라인 DDoS 방어: Shield Standard & Advance - AWS 서비스 연동성

1. AWS CloudFront
– AWS의 콘텐츠 전송 및 보안
양 경 윤 Kyle Yang
kyleyang@amazon.com

2. CloudFront – Single Service
 캐싱
 HTTPS
 다이나믹 콘텐츠 가속 with AWS백본
 DDoS 인라인 방어

3. AWS 콘텐츠 전송: CDN

4. 인터넷 성능 이슈의 원인
전송 지연 (Latency)
150 ms
300 ms
서울
런던
샌프란시스코
고객사
서버
글로벌 사용자
비효율적인 프로토콜
(TCP/HTTP)
네트워크 문제
(인터넷 패킷손실/폭주)
# CloudFront 가속
- AWS Backbone
# CloudFront 가속
- TCP 최적화
- Persistent 연결
- HTTP 2
- 압축
# CloudFront 가속
- AWS Backbone

5. 6
3
4
3
5
Amazon CloudFront Global Content Delivery Network
107 PoPs (96 Edge Locations, 11 Regional Edge Caches)
Regional Edge Cache Locations
• Oregon
• Ohio
• N. Virginia
• London
• Frankfurt
• Sao Paulo
• Mumbai
• Singapore
• Seoul
• Tokyo
• Sydney
https://aws.amazon.com/ko/cloudfront/details/#edge-locations

6. AWS CloudFront – 대규모 고성능의 수퍼 PoP 아키텍쳐
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
ISP
Distributed
(CloudFront)
Highly
Distributed
AWS CloudFront의 Edge Locations은 전세계 네트워크에 전략적으로 분산되어있는 대규모 네트워크 및
서버 용량 을 갖춘 "수퍼 POP" 아키텍쳐입니다. 초고속 인터넷과 같은 LastMile 성능 개선으로 수퍼
PoP의 효용성이 커지고 있습니다.
Super PoP 의 장점
 사용자와 캐시의 과도한 분배를 피함으로써 캐시 히트 율 향상
 대규모 DDoS 공격에 대한 원활한 대응
 신속한 설정 배포 및 액세스 로그 수집
 덜 복잡한 아키텍처로 라우팅 오류 위험을 줄입니다.

7. Cedexis US 성능 비교 (P50, P90)

8. CDN 라우팅(맵핑) 방식 비교
Anycast 방식
• 서비스 호스트네임에
대해 모든 PoP이 동일한
IP를 사용하여
클라이언트가 BGP path
에 따른 가까운 PoP에
접속하게 하는 기술
• 네트워크 최단 경로를
사용하는 방식이나 BGP
path가 불안정한 경우
서비스 장애 및 Latency
정보 반영하지 못함
DNS 방식
• 클라이언트의 DNS
요청에 대해 Metric을
고려하여 PoP 선정
• Metrics: PoP 부하상태,
Latency, 지리적/네트웍
거리, PoP Cost
• 대부분의 CDN 업체는
PoP Cost를 고려한
서비스별 차등 라우팅룰
적용
AWS CloudFront
• DNS 방식을 사용
• 클라이언트와 PoP간
실측된 지연시간(Latency)
기준으로 최상의 라우팅
제공
• PoP Cost 를 고려하지
않는 Latency 기반
라우팅으로 지역별 차등
단가 적용
 CDN 라우팅: 클라이언트의 요청을 어떤 PoP에 연결할지 결정하는 로직 및 기술로서
CDN의 핵심 기술

9. CloudFront는 모든형식의 컨텐츠를 가속
Dynamic
Static
Video
User
Input
SSL

10. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
CloudFront 가속 기술
OriginCloudFrontClient
- Latency 기준 라우팅
- Caching: 정적, 동적
- TCP 최적화
- 컨텐츠 압축
- SSL
- Lambda@Edge
- Persistent TCP 연결
- TCP 최적화
- Pre-Petch
- SSL
- Region Edge Cache
- Lambda@Edge
- AWS Backbone
(전용망)

11. 고객 데이터 센터
AND, OR
CloudFront 엣지 로케이션
정적 컨텐트 오리진
EC2 instance
web app
server
Elastic Load
Balancing
Amazon S3
bucket
동적 컨텐트 오리진
AWS WAF
AWS SHIELD
X
Lambda@Edge
정적 컨텐트 오리진
동적 컨텐트 오리진
X
CloudFront Architecture with AWS Backbone
CF
AWS Backbone

14. Static Contents Caching
AWS Backbone
고객 데이터 센터
Static Content Origin
EC2 instance
web app
server
Elastic Load
Balancing
Amazon S3
bucket
동적 컨텐트 오리진
CloudFront 엣지 로케이션
CF
AWS SHIELD
GET /image.jpg
X
Public Internet

15. CloudFront Dynamic Content(API) 가속 결과
API Acceleration – CloudFront with AWS Backbone

16. AWS 백본 – 오리진이 AWS 리전일 경우
AWS Backbone
고객 데이터 센터
Static Content Origin
EC2 instance
web app
server
Elastic Load
Balancing
Amazon S3
bucket
동적 컨텐트 오리진
CloudFront 글로벌 엣지
로케이션
AWS SHIELD
GET /update?
GET /update?
X
Public Internet

17. On-Prem 오리진 가속 테스트 결과
– Public Internet vs. CloudFront with AWS 백본
End User Location Public Internet CloudFront
Frankfurt 7 ~ 30초 2.1 ~ 2.2 초
Mumbai 4~7 초 1.5 ~ 1.7 초
Paris - Cable 7.2 ~ 10.2초 3.1 초
Dubai - Cable 5.6 ~ 16.3초 2.9 초
전송 속도 비교 : HTTP로 1Mbyte 파일 On-Prem 오리진으로 부터 다운로드
(CloudFront No-Caching 적용)

18. On-Prem 오리진 가속 고객 사례: 서울 리전 Proxy 이용 그룹웨어 성능 개선
– 유럽 모바일 실사용자 테스트 / 100% 다이나믹 콘텐츠
메일 본문 로딩 속도
구분 LTE WiFi
기존 AWS CloudFront 성능향상 기존 AWS CloudFront 성능향상
결재 앱 00:01.983 00:01.176 69% 00:02.080 00:01.119 87%
첨부파일 로딩 속도
구분 LTE WiFi
기존 AWS CloudFront 성능향상 기존 AWS CloudFront 성능향상
결재 앱 00:15.043 00:08.924 69% 00:07.124 00:04.809 48%
메일 앱 00:07.933 00:02.893 174% 00:07.103 00:03.130 127%
* 5~20회 테스트 진행 / CloudFront의 경우 테스트 실패 없으며 균일한 응답성능 결과 보여줌

19. AWS Backbone
국내 데이터 센터
EC2
“NginX Proxy
설정하여 오리진 구성
및 1차 캐시 설정”
정적 컨텐츠 오리진
CloudFront 글로벌 엣지
로케이션
AWS SHIELD
GET /update?
X
Public Internet
AWS 백본 – 오리진이 On-Prem 일 경우 구성
서울 리전
동적 컨텐츠 오리진

20. 2017 Top 100 mobile apps by CDN
출처: PacketZoom
https://www.bizety.com/2017/02/15/amazon-dominates-akamai-top-100-mobile-apps/

21. CloudFront Regional Edge Caches
Origin
Regional Edge Cache
오리진 부하 감소 및 캐싱 성능 향상 (추가 비용 없음)
Origin
Edge Locations
이전 아키텍쳐 새로운 아키텍쳐

22. CloudFront Regional Edge Cache 실제 고객 효과
1. 타 CDN 사용시 – 오리진 Peak 150Mbps
2. CloudFront 이전 직후 – 오리진 Peak 80Mbps : Super PoP 효과
3. CloudFront Regional Edge Cache 적용후 – 오리진 Peak 25Mbps
50Mbps
50Mbps
50Mbps

23. CloudFront Price Benefit
 Single Service Pricing
 HTTPS, AWS 백본 이용 다이나믹(웹사이트,API) 가속 등
 AWS 오리진 Data-out 비용 면제
 Data-out from ELB, EC2, S3 (Public Price)
 GB 단위 가격인하효과
 CloudFront GB=1,024x1,024x1,024 / 타CDN GB=1,000x1,000x1,000
 CloudFront GB가 약 7.4% 많아 약 7%의 가격 인하 효과
 Regional Edge Cache(Midgress) 트래픽 비과금

24. AWS CloudFront 비용 비교
오리진
Cloud Front
타 CDN
No Charge for
Data-Out & AWS Backbone
Standard
Data Transfer Charges
전체 비용 비교
- 100TB/Month 전송 및 Cache-hit율 80% 가정
- 1TB=1,024GB 기준 계산시
Data-out
비용
CDN 비용
($0.05/GB 동일
가격 가정시)
비고
CloudFront $0 $5,120/mon
1GB=1024x10
24x1024Byte
Total: $5,120
(HTTPS,
다아니막가속 포함)
타 CDN 20TB Data-out
-ELB+EC2:
$2,560/mon.
-S3:
$2,396/mon.
$5,498/mon
1GB=1000x10
00x1000Byte
Total: $8,058(ELB)
or $7,894(S3)
(HTTPS 또는
다이나믹 가속시
가격 상승)
# Data-out(서울리전): ELB: $0.008/GB / EC2: $0.117/GB / S3: $0.117/GB

25. 보안 : DDoS 방어, WAF

26. DDoS 공격 유형
물량기반 DDoS 공격
Congest networks by flooding them with more
traffic than they are able to handle (e.g., UDP
reflection attacks)
상태소진형 DDoS 공격
Abuse protocols to stress systems like firewalls,
IPS, or load balancers (e.g., TCP SYN flood)
애플리케이션 레벨 DDoS 공격
Use well-formed but malicious requests to
circumvent mitigation and consume application
resources (e.g., HTTP GET, DNS query floods)

27. DDoS 대응방안 – 장비형 vs 서비스형 vs AWS CloudFront
장비형
• DDoS 공격에 대해 서버
앞단에서 DDoS 전용 장비
설치 차단
• 직접/즉각적인 대응이
가능하다는 장점이
있으나 인프로 규모에
맞는 구축을 위한 초기
투자 비용이 크고 대역폭
고갈 대용량 공격에 대한
대응 불가
서비스형
• ISP 혹은 CDN사에서
DDoS 공격 탐지시
트래픽을 사이버 대피소
또는 스크러빙센터로
우회시켜 DDoS 공격 방어
• 탐지/우회 소요시간 동안
DDoS 공격이 지속되고
트래픽 우회시 사용자
성능 저하 발생가능
AWS CloudFront
• 대용량 Super PoP
아키텍쳐로 인라인 DDoS
방어
• Syn, UDP등 L3/L4 DDoS
공격 트래픽에 대해서는
과금없으며 약정없이
사용 가능
• CDN의 장점에 의한
시너지 효과
(성능,확장성,비용절감)
• Shield Advanced 서비스
선택 가능

28. CloudFront DDoS 방어 - AWS Shield Standard
 내부에서 모든 CloudFront PoP에서
DDoS 방어 시스템이 인라인으로
실행 중입니다.
 도달하는모든 패킷은 모두
인라인에서 검사되고 학습
알고리즘으로 스코어링 됩니다.
 Always-on, in line protection은
가용성, 처리량 및 대기 시간에
영향을주지 않으면서 공격을
완화합니다.
AWS Shield Standard에 의한 L3/L4 DDoS 보호는 추가 비용없이 기본 제공.
AWS Origin
(ELB, EC2, S3)
CloudFront
DDoS 공격
BlackWatch
Edge Location Origin
BlackWatch 시스템에서 95% 이상의 L3/L4 DDoS 자동 차단
Custom Origin
------------ OR ------------
정상 사용자

29. CloudFront DDoS 방어 – AWS Shield Advanced(연간 약정)
상시 모니터링 및 탐지
고도화된 L7 디도스 방어
DDoS 공격 알람 및 레포팅
AWS WAF(웹방화벽) 무상 제공
24X7 AWS DDoS 대응팀 지원
비용 보호 (DDoS 공격에 의한 추가 비용 면제)

30. 요 약

31. 요약: AWS CloudFront의 가속 및 보안
 수퍼 PoP: AWS 클라우드 구축/운영 Know-How 가 담긴
고성능/대용량 아키텍쳐
 국내 최대 Capacity / 가장 빠르게 성장하는 글로벌 CDN 서비스
 Single-Service: (캐싱, 다이나믹 가속, HTTPS, AWS
Shield Standard 등) 동일 가격 체계로 제공
 AWS Backbone 전용망: Edge <=> Origin 가속
 인라인 DDoS 방어: Shield Standard & Advance