Silverline Managed Services Platform을 사용하여 Amazon CloudFront 배포

글로벌 IT 솔루션 기업인 당사 고객은 자사의 요구 사항을 충족할 수 있는 다양한 서비스와 솔루션을 평가하는 과정에서 콘텐츠 전송 네트워크(CDN), 웹 애플리케이션 방화벽(WAF), 사기/봇 및 분산 서비스 거부(DDoS) 공격으로부터 보호하는 기능을 결합한 솔루션을 배포하고 운영하는 데 필요한 변수에 대한 광범위한 검토를 수행했습니다. 상당한 분석과 여러 팀과의 내부 논의를 거쳐, 당사 고객은 F5 Silverline과 Amazon CloudFront 콘텐츠 전송 네트워크를 결합하는 것이 가장 좋은 솔루션이라는 결론을 내렸습니다.

당사 고객이 이 솔루션을 선택한 이유는 관리형 보안 서비스, 빠른 배포, 프로비저닝, 유지 관리 및 운영에 드는 낮은 비용을 제공하기 때문입니다. 내부 고객 팀은 웹사이트 발전 계획을 정의하고, 진행 중인 운영에 큰 영향을 미치지 않으면서 계획의 각 단계를 신속하게 완료하는 데 집중했습니다.

구현이 용이하고 아키텍처의 이점이 결합되어 지속적인 성능 개선, 추가 보안 제어, SIEM 및 기타 로그 분석 플랫폼으로의 데이터 내보내기 기능을 통한 광범위한 보고 및 로깅이 가능해졌습니다. 이를 통해 고객사 팀은 자신이 가장 잘하는 일, 즉 원활하고 매력적인 고객 경험을 제공하는 데 집중할 수 있었습니다.

고객은 계획의 네 번째 단계(그림 1)를 구현하기 위해 F5와 AWS 솔루션을 선택했습니다. 그 이유는 각 서비스가 구성에서 제공하는 유연성, 운영 비용이 저렴하고 여러 번의 반복을 통해 시간이 지남에 따라 시스템을 확장할 수 있는 기능 때문이었습니다. 또 다른 핵심 요소는 Silverline 플랫폼을 지속적으로 모니터링하는 F5 Silverline 보안 운영 센터(SOC) 분석가와 협력할 수 있는 능력이었습니다. (Silverline은 F5의 클라우드 기반 관리형 보안 서비스 플랫폼입니다.) SOC 분석가는 고객이 보안 태세를 정의하고 시스템의 사용성을 극대화하도록 도왔습니다. 이를 통해 고객은 사기와 남용을 끈질기게 방지하는 동시에 원활한 경험을 제공할 수 있었습니다.

웹 애플리케이션의 진화에 따른 성능 개선과 운영 비용의 균형을 맞추는 동시에 빠르고 안전하며 원활한 고객 경험을 제공합니다.

기업은 웹 애플리케이션을 구축하고 설계할 때 여러 가지 어려움과 제약에 직면하게 됩니다. 중요한 고려 사항은 애플리케이션 수명 주기 전체에 걸쳐 지속적인 성능 개선을 가능하게 하기 위해 기술과 인력을 획득, 배포, 관리하는 데 드는 비용의 균형을 효과적으로 맞추는 것입니다. 아래 그림은 웹 애플리케이션을 개발하는 데 필요한 비용 대 성능의 균형에 관한 고객 분석을 보여줍니다.

그림 1 : F5 Silverline 고객 웹 애플리케이션 성능 라이프사이클

초기 단계에서는 고객이 애플리케이션을 배포하고 고객을 확보하는 데 집중했습니다. 그들이 목표를 달성하기 위해 실행한 단계는 다음과 같습니다.

두 번째 단계에서는, 고객은 고객 기반을 확보하고 추가 확장을 준비하기 위해 개선과 향상에 집중했습니다.

3단계에서는 고객이 F5 Silverline 계정 팀과 협력하여 관리형 보안 구성 요소를 배포하고 Amazon CloudFront를 구성하여 애플리케이션이 확장되고 생성된 모든 트래픽을 수용할 수 있도록 했습니다.

네 번째 단계에서는, 당사 고객이 고객 원산지 요청을 분석한 결과, 많은 고객들이 미국 이외의 국가에서 거래를 하고 있다는 사실을 확인했습니다. 이러한 관찰 결과와 미국 내 수요 증가에 대한 추가 분석을 바탕으로 Amazon CloudFront를 구현하여 도달 범위를 확대하고 글로벌 성과를 개선하기로 했습니다.

마지막 단계에서는 고객팀이 혼합된 콜로케이션 서비스와 SaaS/IaaS/PaaS 플랫폼을 구축하는 하이브리드 환경을 구축하여 운영 역량을 강화하고 빠르게 변화하는 글로벌 시장 환경에 적응하는 데 집중했습니다.

이 문서에서는 Amazon CloudFront와 F5 Silverline 관리형 보안 서비스 플랫폼의 4단계 통합을 완료하기 위해 고객이 실행한 기술적 단계에 중점을 둡니다.

성공적인 서비스 배포 및 시스템 통합을 보장하기 위한 기본 요구 사항

Amazon CloudFront를 F5 Silverline 플랫폼에 통합하기 위해 당사 고객은 Silverline 팀의 도움을 받아 다음 항목을 프로비저닝했습니다.

고객이 전 세계적으로 최고의 성과와 참여 경험을 얻을 수 있도록 안전하고 확장 가능한 네트워크를 구축합니다.

다중 홈 링크와 여러 서비스를 갖춘 안전하고 빠른 글로벌 네트워크를 구축하는 것은 어떤 조직에게도 쉬운 일이 아닙니다. 다행히도 고객은 F5와 AWS가 제공하는 인프라와 서비스에 대한 결합된 투자로부터 이익을 얻을 수 있습니다. 이를 통해 고객은 최대 효율로 온보드 애플리케이션에 신속하게 배포할 수 있는 솔루션을 구축하고 투자에 대한 즉각적인 수익을 실현할 수 있습니다.

고객이 배포하기로 선택한 아키텍처는 아래 그림에 나와 있습니다.

그림 2: 마찰 없는 고객 경험을 위한 원활한 시스템 통합

빠른 통합을 위한 배포 용이성

기업들은 경쟁 우위를 확보하고/또는 비용을 절감하기 위해 시장 과제에 신속하게 대응하는 애플리케이션을 출시하라는 압박을 받고 있습니다. 단기간 내에 완료할 수 있는 배포는 광범위한 리소스와 추가 비용이 필요한 배포에 비해 상당한 이점을 제공합니다. F5와 AWS를 사용하면 이러한 구성을 쉽게 배포할 수 있습니다. 고객이 구성할 수 있는 모든 구성 요소와 데이터가 준비되어 있다면 몇 분 안에 작업을 완료할 수 있습니다.

3단계가 완료되어 고객은 Amazon CloudFront를 F5 Silverline Platform과 통합하는 4단계로 넘어갔습니다. 여기에는 다음 단계가 포함되었습니다.

Silverline SOC 팀에서 포털 계정을 배포하면 고객이 로그인하여 프록시 표시 이름, FQDN(정규화된 도메인 이름), 원본 서버 IP 주소 또는 ELB CNAME(정식 레코드), 위협 인텔리전스 프로필, WAF 정책, SSL 인증서, 사기/봇 보호 엔드포인트에 대한 필요한 설정으로 프록시 루트 개체를 구성할 수 있습니다. 고객은 온보딩 단계에서 Silverline SOC 분석가와 함께 이러한 단계를 검토하게 됩니다. 고객은 SOC 분석가의 도움을 받아 프록시 배포를 지원할 수도 있습니다.

그림 3: 프록시 개체 추가 및 구성

프록시가 저장되고 Silverline 플랫폼에 배포되면 고객은 Amazon CloudFront 네트워크의 원점으로 사용될 고유한 CNAME을 받게 됩니다. 고객은 배포 후 기본 구성 패널에서 이 프록시 CNAME을 찾을 수 있습니다.

그림 4: Silverline 프록시 CNAME

프록시가 활성화되면 즉시 트래픽을 수신할 준비가 되며 해당 서비스가 구성되는 즉시 CloudFront에서 사용자 요청을 라우팅하는 데 사용할 수 있습니다.

Amazon CloudFront - 서비스 구성

원활한 통합을 보장하기 위해 고객은 CloudFront 통합을 수행하기 전에 다음 정보를 준비해야 합니다.

이러한 구성 요소가 제자리에 있고 프로비저닝되면 고객은 AWS 관리 콘솔로 이동하여 CloudFront 구성을 시작할 수 있습니다. 콘솔 메뉴에서 하위 범주 "네트워킹 및 콘텐츠 전송" / CloudFront를 찾아 선택합니다. "배포" 링크를 찾아 선택하고 초기 배포를 생성합니다.

그림 5: AWS Management Console 및 CloudFront 탐색

그림 6: CloudFront 배포 패널

개체 구성을 시작하려면 "배포 만들기" 컨트롤을 선택하세요. "특정 배송 방법"을 생성하라는 메시지가 표시될 수 있습니다. 우리 고객은 "웹" 배송 방법을 선택했습니다.

"시작하기" 컨트롤을 선택하세요. 아래 패널은 브라우저에서 렌더링됩니다. 표시된 대로 Origin 설정을 구성합니다.

그림 7: CloudFront 배포 구성 패널 - 원본 설정

원본 연결 시도 횟수, 원본 시간 초과, 원본 응답 시간 초과, 원본 연결 유지 시간 초과, HTTP 및 HTTPS 포트는 변경이 필요하지 않는 한 기본값을 유지해야 합니다.

원산지 고객 헤더: 사용자 정의 헤더 키와 값은 모든 원본 요청에 포함됩니다. 이러한 설정은 CloudFront에서 시작되지 않은 Silverline 프록시의 모든 요청을 필터링하는 데 사용될 수도 있습니다.

기본 캐시 동작 설정은 애플리케이션 개발자, 정보 기술, DevOps, 보안 팀 및 기타 이해 관계자가 정의한 내부 정책에 따라 프로그래밍할 수 있습니다. 애플리케이션의 전반적인 작동에 값을 변경하는 것이 얼마나 큰 영향을 미치는지 이해하는 것이 중요하다는 점을 강조하는 것이 중요합니다. F5 Silverline은 각 설정에 따라 비용, 보안 노출, 성능 영향, Silverline WAF 또는 봇/사기 보호와의 상호 작용에 차이가 있을 수 있으므로 진화적 접근 방식을 권장합니다. AWS는 조직이 각 제어 기능을 적용하는 방법과 기존 운영에 어떤 영향을 미칠 수 있는지 이해하는 데 도움이 되는 관리 콘솔에서 유용한 설명서를 제공합니다. Silverline SOC 분석가는 이러한 설정이 Silverline 프록시, WAF 또는 봇/사기 보호에 어떤 영향을 미치는지에 대한 정보도 제공할 수 있습니다.

그림 8: CloudFront 배포 구성 패널 - 기본 캐시 동작 설정

배포 설정 도 운영에 상당한 영향을 미칠 수 있습니다. 추가적으로 고려해 볼 만한 설정은 다음과 같습니다.

그림 9: CloudFront 배포 구성 패널 - 배포 설정

마지막 단계는 배포를 만드는 것입니다.

이 작업에는 몇 분 정도 소요되며, 완료되면 고객에게 CNAME이 전송됩니다.

그림 10: CloudFront 배포 - 배포 제어 생성

Amazon CloudFront에서 발급한 CNAME을 이제 AWS Route 53과 함께 사용하여 애플리케이션에 대한 모든 트래픽을 확인하는 권한 있는 레코드로 사용할 수 있습니다.

고객의 내부 보안, 정보 기술, 운영 및 개발 팀은 고객 참여와 마케팅 전략 목표에 가장 적합한 솔루션을 평가하는 데 많은 시간을 투자했습니다. 고객이 솔루션을 선택한 후, 어떠한 방해 요소 없이 구현이 진행되어 몇 분 내에 전 세계적으로 서비스와 애플리케이션을 구동할 수 있었고, 전 세계 고객에게 훨씬 더 원활하고 빠른 참여 경험을 제공하게 되었습니다.