클라우드플레어(Cloudflare), 500Tbps 네트워크 돌파! DDoS 방어, 엣지 컴퓨팅까지
클라우드플레어(Cloudflare)가 330개 이상의 도시에 걸쳐 500Tbps의 외부 연결 용량을 달성하며 네트워크 확장 기록
DDoS 공격 방어를 위해 eBPF(eXpress Data Path) 기반의 l4drop, dosd, Quicksilver 등 자체 개발 기술을 활용하여 자동화된 방어 시스템(Automated Defense System) 구축
개발자 플랫폼인 Workers를 통해 모든 서버에서 고객 코드 실행 환경을 제공하며, 엣지 컴퓨팅(Edge Computing) 환경을 강화
IPv6, RPKI(Resource Public Key Infrastructure) 조기 도입을 통해 BGP 하이재킹(BGP Hijacking) 방지 및 인터넷 보안 강화
AI 기반 크롤러(Crawler) 증가에 대응하여 TLS 핑거프린팅(TLS Fingerprinting), 행동 분석 등 다양한 기술을 활용하여 봇(Bot) 트래픽(Traffic) 관리
500Tbps 네트워크의 기반: 데이터 격리 아키텍처(Data Isolation Architecture)
클라우드플레어(Cloudflare)는 330개 이상의 도시에 데이터 센터(Data Center)를 구축하고, 각 데이터 센터는 다수의 서버(Server)로 구성됨.
각 서버는 XDP(eXpress Data Path) 프로그램 체인을 통해 트래픽을 처리하며, l4drop, dosd, Unimog 등 자체 개발 기술을 활용
데이터 격리 아키텍처(Data Isolation Architecture)를 통해 DDoS 공격을 효과적으로 방어하고, 고객 트래픽의 안전성을 보장
Quicksilver를 활용한 분산 키-값 저장소(Distributed Key-Value Store)를 통해, 모든 서버에 실시간으로 규칙(Rule) 전파
결과적으로, 이러한 아키텍처는 대규모 트래픽 처리(Large-scale Traffic Handling)와 빠른 공격 대응(Fast Attack Response)을 가능하게 한다.
DDoS 공격 방어 메커니즘: 자동화된 방어 시스템(Automated Defense System)
클라우드플레어(Cloudflare)는 DDoS 공격에 대응하기 위해 자동화된 방어 시스템(Automated Defense System)을 구축했다.
l4drop: eBPF(eXpress Data Path) 기반으로 패킷을 평가하고, 공격 트래픽을 필터링
dosd: 각 서버에서 실행되며, 트래픽 패턴 분석(Traffic Pattern Analysis)을 통해 공격을 감지하고 l4drop 규칙 생성
Quicksilver: 분산 키-값 저장소(Distributed Key-Value Store)로, dosd에서 생성된 규칙을 모든 서버에 전파
Unimog: Layer 4(L4) 로드 밸런서(Load Balancer)로, 정상 트래픽을 건강한 서버로 분산
이러한 시스템은 인간의 개입 없이(Without Human Intervention) 초당 31.4Tbps의 공격을 방어할 수 있다.
Workers: 엣지 컴퓨팅(Edge Computing) 환경
클라우드플레어(Cloudflare)는 Workers를 통해 엣지 컴퓨팅(Edge Computing) 환경을 제공한다.
Workers: 모든 데이터 센터의 서버에서 고객 코드를 실행할 수 있는 서버리스(Serverless) 플랫폼
V8 엔진(V8 Engine)과 커스텀 파일 시스템(Custom Filesystem)을 사용하여 콜드 스타트(Cold Start) 최소화
2025년에는 컨테이너(Container) 지원을 추가하여, 더 무거운 워크로드(Workload)를 엣지에서 실행 가능
DDoS 공격 방어 시스템(DDoS Attack Defense System)과 동일한 서버에서 실행되므로, 공격 트래픽을 애플리케이션 레벨(Application Level)에 도달하기 전에 차단
결과적으로, Workers는 글로벌 배포(Global Deployment)와 낮은 지연 시간(Low Latency)을 제공하며, 개발자 생산성을 향상시킨다.
IPv6, RPKI, ASPA: 인터넷 보안 강화
클라우드플레어(Cloudflare)는 인터넷 보안 강화를 위해 IPv6, RPKI(Resource Public Key Infrastructure), ASPA(Autonomous System Provider Authorization)를 적극적으로 도입했다.
RPKI: BGP 하이재킹(BGP Hijacking) 방지를 위해, 라우트(Route)의 출처를 검증하고, 잘못된 경로를 필터링
ASPA: RPKI가 경로의 소유자를 확인하는 반면, ASPA는 트래픽이 거쳐온 모든 네트워크(Network)를 검증
ASPA는 RPKI와 유사하게, 라우팅 보안(Routing Security)을 강화하고, 라우트 누출(Route Leak)을 방지
클라우드플레어(Cloudflare)는 이러한 기술을 통해 인터넷의 안정성(Internet Stability)과 보안(Security)을 지속적으로 개선하고 있다.
AI 기반 크롤러(Crawler) 대응: 봇(Bot) 트래픽(Traffic) 관리
AI 기술 발전으로 인해, AI 기반 크롤러(Crawler) 트래픽이 증가함에 따라, 클라우드플레어(Cloudflare)는 봇(Bot) 트래픽(Traffic) 관리에 힘쓰고 있다.
봇(Bot)과 브라우저(Browser)의 차이점을 분석하여, 봇 트래픽을 식별
TLS 핑거프린팅(TLS Fingerprinting): TLS(Transport Layer Security) 레이어에서, 봇의 특징을 분석하여 식별
행동 분석(Behavioral Analysis): 봇의 요청 패턴을 분석하여, 악성 트래픽을 탐지
robots.txt 준수 여부 확인: 봇의 접근 권한을 제어
이러한 기술을 통해, 클라우드플레어(Cloudflare)는 정상적인 봇(Legitimate Bot)과 악성 봇(Malicious Bot)을 구분하고, 웹사이트(Website)의 성능과 보안을 유지한다.
500Tbps 네트워크 구축의 기술적 배경
클라우드플레어(Cloudflare)는 16년간의 기술적 결정과 투자를 통해 500Tbps 네트워크를 구축했다.
2010년, 작은 사무실에서 시작하여, 현재 330개 이상의 도시에 데이터 센터(Data Center)를 운영
각 데이터 센터는 수많은 서버(Server)로 구성되며, 자체 개발한 기술을 통해 운영
지속적인 인프라 확장(Infrastructure Expansion)과 기술 혁신을 통해, 인터넷 보안(Internet Security) 및 성능(Performance)을 향상
오픈 소스(Open Source) 기술과 자체 개발 기술을 결합하여, 유연하고 확장 가능한 네트워크 구축
결과적으로, 클라우드플레어(Cloudflare)는 글로벌 네트워크(Global Network) 리더십을 공고히 하고 있다.
