텐센트 클라우드와 게임 인프라 아키텍처

 

 

 

 

3부 텐센트 클라우드를 활용한 게임 인프라 아키텍처 – 하

 

 

 

1. 개요

 

계속해서 ‘3부-텐센트 클라우드를 활용한 게임 인프라 아키텍처 – 하’편에서는, 게임 인프라 아키텍처에 활용할 수 있는 텐센트 클라우드 제품들 종류와 특징에 대해서 알아보겠습니다.

 

 

 

2. Basic Cloud Monitor

 

2.1 개요

 

Cloud Monitor는 텐센트 클라우드의 각 제품들의 상태와 각종 지표를 모니터링할 수 있는 제품입니다.
Cloud Monitor는 다음과 같은 장점들을 가지고 있습니다.

 

• 모니터링 지표를 수집하고 그래픽 방식으로 보여줄 수 있으며, 지능형 데이터 분석이 가능합니다.
• 사용자 정의 모니터링을 지원합니다.
• 모든 지표를 몇 초 내에 수집할 수 있습니다.
• 비정상 알람을 실시간으로 발송합니다. 알람은 이메일, SMS, WeChat, 전화 방식을 지원합니다.
• 실시간 서비스 상황을 파악하고 각 클라우드 제품의 헬스체크를 진행할 수 있습니다
• 다양한 데이터 리포트 설정을 지원합니다.

 

API를 제공하므로, 이미 구축해서 운영중인 모니터링 시스템에 연동해서 사용할 수 있습니다.
Cloud Monitor는 무료 서비스 입니다. 텐센트 클라우드를 사용하시면 기본 기능으로 사용하실 수 있습니다.

 

 

 

3. Anti-DDoS

 

3.1 개요

 

해커가 게임 서비스를 공격하는 이유는 다양합니다. 경쟁관계의 다른 회사 게임이 흥행하는 것을 방해하려는 목적일 수도 있고, 금전적 요구를 위한 공격일 수도 있습니다. 어느 경우가 되었든, 정상적인 서비스를 유지하고 사전에 피해를 예방하기 위해 보안을 강화해야 합니다.

 

Anti-DDoS 보안 장비들은, OSI 7 Layer의 L3 네트워크 계층에서 동작합니다. 비정상적인 TCP, UDP 공격 패킷들을 탐지하고 drop 처리하며, clean packet만 통과 시키는 역할을 합니다. 결과적으로 실제 게임 서버를 DDoS 공격으로부터 보호 합니다.

 

• 텐센트의 Anti-DDoS는 대량의 DDoS 공격으로부터 서비스 서버를 방어하고, 서비스의 안정성과 가용성을 향상시킵니다. Anti-DDoS는 인프라 시스템 아키텍처의 가장 앞 단에 위치하며, 모든 인터넷 트래픽을 가장 먼저 수신합니다. 미리 정해진 룰을 기반으로 패킷을 검사하고, 공격 트래픽을 발견 하면 필터링 처리해서 버리며, 정상적인 트래픽만 실제 서버로 전달합니다.
• 텐센트의 Anti-DDoS Advanced는 다음과 같은 공격들을 방어할 수 있습니다.

네트워크 레이어별 방어	공격 유형
네트워크 레이어에서 방어	UDP/TCP/SYN Flood, ICMP Flood, ACK/FIN/RST flood, DNS/NTP/SSDP 반사 공격, frag flood, smurf, stream flood, land attack 등
애플리케이션 레이어에서 방어	HTTP CC(Cache-Control:no-cache,must-revalidate) 공격, slow HTTP 공격 등

• 텐센트 클라우드를 사용하면 Anti-DDoS 서비스의 일부를 무료로 사용하실 수 있습니다. IP주소 1개당 DDoS 공격 트래픽을 2Gbps까지 무료로 방어 해 드립니다. 만약 DDoS 공격 트래픽이 2GBps를 초과할 것이 예상된다면, 유료 Anti-DDoS 서비스를 사용하실 것을 권장합니다.
• 무료 Anti-DDoS 서비스만으로 2Gbps 이상의 공격 트래픽을 막기 위해, 다수의 IP 주소를 사용하는 시나리오는 권장하지 않습니다.
  예) ‘총 20Gbps의 DDoS 공격을 무료로 막기 위해, 10 개의 IP주소를 사용하는 서버를 사용하는 시나리오’
  이런 시나리오 에서는, 공격자가 IP 주소 한 개씩 Divide and conquer방식으로 공격을 수행하면, 2Gbps를 약간 상회하는 트래픽으로 전체 10개 IP주소를 차례차례 모두 block 시킬 수 있고, DDoS 공격에 성공하게 됩니다.

 

 

3.2 Anti-DDoS의 보호 대역폭 모델과 IP 차단

 

텐센트 클라우드의 Anti-DDoS는 ‘기본 보호(Base Protection) 대역폭’과 ‘탄력적 보호(Elastic Protection) 대역폭’ 모델로 나뉩니다.

 

• 기본 보호 대역폭 : 보호 대역폭 상한 값이 존재합니다. 미리 정해진 공격 트래픽 상한 값만큼 방어하는 방식입니다.
• 탄력적 보호 대역폭 : 탄력적 보호는 기본적으로 비활성화되어 있습니다. 공격트래픽이 기본 보호 대역폭을 초과하면 탄력적 보호가 트리거 됩니다.

 

탄력적 보호를 활성화 하지 않았을 때, 공격 트래픽 대역폭이 ‘기본 보호 대역폭’의 최대값을 초과하면, (전체 인프라를 보호하기 위한 차원에서) IP 차단 기능이 동작하게 됩니다. 예상치 못한 IP 차단을 예방하고 효과적으로 DDoS를 방어하려면, ‘탄력적 보호(Elastic Protection) 대역폭’을 활성화 할 것을 권장합니다. IP가 차단된 경우, ‘텐센트 클라우드 콘솔 > protection overview’에서 고객 스스로 긴급해제 할 수 있습니다. 고객의 셀프 긴급해제는 하루 3회로 제한 됩니다.

 

 

3.3 Anti-DDoS 사용 요금

 

• 텐센트 클라우드의 Anti-DDoS의 사용 요금은 대역폭을 기준으로 과금되며, 월간 구독 형태입니다.
  대역폭 과금은 좀더 상세하게 ‘기본 보호 대역폭’ 과금과 ‘탄력 보호 대역폭’ 과금으로 구분됩니다.
• 기본 보호(Base Protection) 대역폭 과금은 20Gbps 부터 300Gbps 까지 가능하며, 월 약정으로 계약할 수 있습니다.
• 기본 보호 대역폭을 넘어서는 공격 트랙픽이 발생하면, 초과한 만큼 ‘탄력 보호(Elastic Protection) 대역폭’ 요금으로 청구 됩니다.
  예를 들어, ‘기본 보호 대역폭’ 20Gbps를 설정했는데, 실제 공격이 30Gbps 만큼 발생했다면, 초과한 10Gbps는 ‘탄력 보호 대역폭’ 요금제에 따라 청구됩니다.
• ‘탄력 보호(Elastic Protection) 대역폭’ 요금은 당일 최대 공격 대역폭을 기준으로 과금되며, 그 다음 날에 요금이 청구됩니다.

 

게임 서비스를 대상으로 하는 DDoS 공격은, 주로 신규 오픈 하는 게임을 목표로 합니다. 대체로 서비스 오픈 초기에 대량의 DDoS 공격을 감행하고, 시간이 지나면 공격 트래픽이 감소하는 경향을 보입니다. 안정적인 서비스를 위해서, 게임 출시 초반에는 기본 보호 대역폭을 높게 설정해서 대량의 공격을 방어하고, 이후에는 천천히 기본 보호 대역폭을 낮추는 방법을 권장합니다.

 

텐센트 클라우드의 Anti-DDoS의 자세한 가격 정보는 아래 URL을 참조 해 주세요.
텐센트 클라우드 Antio-DDoS 가격 정보(영문)

 

 

 

4. WAF(Web Application Firewall)

 

4.1 개요

 

WAF(Web Application Firewall)는, OSI 7 Layer의 L7 어플리케이션 계층에서 동작합니다. WAF는 웹 애플리케이션 보호에 특화된 제품입니다. OWASP Foundation 에서는, 가장 빈번하고 위험한 웹 취약점을 모아서 OWASP top 10으로 발표하고 있습니다. 대표적인 SQL Injection, XSS(Cross-Site Scripting) 같은 취약점들은, 수 년째 OWASP top 10 순위 권에 올라 있습니다.

 

게임 분야에서는, 게임 제작사가 직접 만든 독자 프로토콜을 사용하는 경우가 많았기 때문에, 어플리케이션 레벨의 보안은 프로토콜에 맞추어 직접 작성해서 사용해야만 했습니다. 다만, 최근 들어 게임 서버에도 HTTPS 사용이 늘어나고 있는데, HTTPS 서버 앞 단에 WAF를 배치해서 웹 어플리케이션들을 보호할 수 있습니다.

 

• 텐센트 클라우드 WAF는 웹 어플리케이션을 대상으로 하는 해킹 공격들로부터 내부 시스템들을 효과적으로 방어합니다.
  잘 알려진 공격방식뿐만 아니라 zero day 취약점까지 점검하고 발견하며, 취약점 방어 규칙도 새로 갱신하고 적용합니다. 내부 시스템들은 별도의 작업 없이도 zero day 취약점을 이용한 공격으로부터 보호됩니다. 이를 위해, 텐센트의 보안 팀이 24*7시간 동안 zero day 취약점을 지속해서 모니터링 하고 대응하고 있습니다.
• 텐센트 클라우드 WAF에서는 머신러닝 기반의 공격 탐지 기술을 사용할 수 있습니다. AI 엔진은 자가 학습 기능을 통해, 알려진 위협과 알려지지 않은 위협에 대한 탐지 성공률을 높이고, 오탐을 최소화하며, 지속적으로 변화하는 웹 애플리케이션 공격 유형에 유연하게 대응합니다.
  게임 서비스의 일부분에 Web/WAS를 사용하고 있거나, RESTful API를 외부에 서비스하고 있다면, 텐센트 클라우드의 WAF를 사용해서 내부 시스템을 보호하는 것이 좋습니다.
• 텐센트 클라우드의 WAF는 텐센트 내부에 있는 시스템 뿐만 아니라, 외부에 있는 시스템에 대해서도 웹 공격 방어서비스를 제공할 수 있습니다. On-Premis 환경의 웹시스템과, IDC에 구축한 웹시스템, 타사 클라우드에서 서비스중인 웹 시스템들도 텐센트 클라우드 WAF를 사용해서 보호할 수 있습니다.

 

 

4.2 텐센트 클라우드 WAF 사용 요금

 

• 텐센트 클라우드 WAF는 종량제 후불 방식으로 구매하고 사용할 수 있습니다.
• 매일 발생하는 웹요청의 피크값을 기준으로, 요금이 산정됩니다.

 

텐센트 클라우드 WAF의 자세한 가격 정보는 다음 URL을 참조 해 주세요.
텐센트 클라우드 WAF 가격 정보(영문)

 

 

 

5. CDN (Content Delivery Network)

 

CDN은 HTTP/HTTPS Web을 기반으로, 정적 데이터 캐쉬서버 역할을 합니다. 이미지나 동영상 등, 데이터에 변화가 거의 없는 정적인 데이터를 가속하는데 주로 사용합니다.

 

게임 분야에서는, 대표적으로 게임 클라이언트를 배포할 때 CDN을 많이 사용하고 있습니다. 온라인 게임은 클라이언트 업데이트와 패치가 매우 빈번합니다. 사용자 근처의 CDN에 게임 클라이언트 파일들을 캐쉬 해 두면, 사용자들은 가장 가까운 CDN 으로부터 빠르게 다운로드 받을 수 있고, 게임 경험도 좋아집니다. 특히 글로벌 게임 출시를 계획하고 있다면, CDN 사용은 필수입니다.

 

텐센트 클라우드의 CDN은 다음과 같은 장점을 가지고 있습니다.

 

• 텐센트 클라우드의 CDN은 전 세계에 1300개 이상의 노드로 구성되어 있고, 제공하는 대역폭은 총 20Tbps에 이릅니다.
• Web서버를 대상으로 가속할 수 있고, COS 스토리지의 파일들을 CDN으로 서비스할 수도 있습니다.
• CDN을 사용하면, 게임 클라이언트 배포가 보다 간편해집니다.
  배포하려는 파일을 COS 스토리지에 저장하고 CDN을 연결하기만 하면 됩니다. CDN이 마치 정적Web서버인 것 처럼 게임 클라이언트를 배포할 수 있습니다.

 

CDN의 과금 방식은 ‘대역폭 과금’과 ‘트래픽 과금’ 방식이 있습니다.
텐센트 클라우드 CDN의 자세한 가격 정보는 다음 URL을 참조 해 주세요.
텐센트 클라우드 CDN 가격 정보(영문)

 

 

 

 

수고하셨습니다!

지금까지 게임 인프라 아키텍처에 활용할 수 있는 텐센트 제품 종류와 특징에 대해서 알아보았습니다.

 

 

 

 

기술 블로그 내용 중에 궁금한 점이 있다면, 질문하기를 통해 문의 해 주세요.

 

 

 

 

 

참고링크

• Tencent Cloud 문서 센터
• 이 콘텐츠는 저작권법에 의해 보호받는 저작물로 메가존클라우드에 저작권이 있습니다.
• 이 콘텐츠는 사전동의 없이 2차 가공 및 영리 목적으로의 이용을 금합니다.