FastAPI 서비스 붕괴를 막는 계층별 DDoS 방어 전략

Context

단순 트래픽 증가보다 L7 계층의 애플리케이션 공격에 취약한 Python 구조. 무거운 엔드포인트에 대한 소수 요청만으로도 CPU 및 메모리 자원 고갈 발생. FastAPI 단일 계층의 보호 방식은 프로세스 생성 단계의 부하를 제어하지 못하는 한계.

Technical Solution

• CDN, Nginx, Middleware로 이어지는 Defense in Depth 계층 구조 설계
• slowapi와 Redis를 결합하여 분산 환경에서도 일관된 요청 제한을 유지하는 구조
• 단순 IP 기반 제한의 NAT 환경 오탐지를 방지하기 위해 JWT 토큰 기반의 사용자 식별 제한 로직 도입
• 급격한 트래픽 스파이크를 완화하고 요청 흐름을 균일하게 만드는 Token Bucket 알고리즘 적용
• Redis Lua Script를 통한 원자적 연산 처리로 동시성 환경의 Race Condition 제거
• X-Forwarded-For 및 X-Real-IP 헤더를 우선 참조하는 프록시 인식 IP 추출 방식 채택

Key Takeaway

보안은 단일 솔루션이 아닌 여러 계층의 필터링을 통해 공격 표면을 점진적으로 줄여나가는 파이프라인 설계가 핵심.