서버 방어 · 봇 · 관측 개요
multi-saas-kit 의 서버 보호 전략은 계층 방어(defense in depth) 입니다. 핵심 원칙은 다음 한 줄입니다.
방어의 1차선은 엣지(Cloudflare + 리버스 프록시)에 두고, 애플리케이션은 백스톱(2차선)과 자체 관측만 담당한다.
볼류메트릭 공격이나 대량 리로드 부하는 요청이 서버(origin)에 도달하기 전에 막아야 효과가 있습니다. 애플리케이션 단계에서 막으려 하면 이미 자원을 소비한 뒤이므로, DDoS 방어를 PHP 코드로 구현하지 않습니다.
계층별 책임
| 계층 | 위협 / 기능 | 담당 | 비고 |
|---|---|---|---|
| L3/4 볼류메트릭 DDoS | SYN/UDP flood 등 | Cloudflare | 무료 티어 기본 제공 |
| L7 HTTP flood / 리로드 abuse | 동일 IP·경로 폭주 | Cloudflare Rate Limiting + 프록시 | 엣지 규칙 |
| 봇 차단(포털/AI/악성) | 크롤러 차등 | Cloudflare(Verified Bots / AI 차단 / Bot Fight) | 엣지 집행 |
| 라우트별 세밀 제한 | 인증·고비용 경로 | Laravel throttle / RateLimiter | 앱 백스톱(내장) |
| AI 크롤러 차단 | 자체 콘텐츠 보호 | 앱 봇 정책 미들웨어 + robots.txt | 백스톱(옵트인) |
| 페이지 처리시간·용량 관측 | 성능 회귀 탐지 | 앱 관측 미들웨어 → 모니터링 | 옵트인 |
직접 구현 vs 외부(엣지) — 결론
| 항목 | 권장 |
|---|---|
| DDoS / 볼류메트릭 / 봇 집행 | 엣지(Cloudflare) — 직접 구현 안 함 |
| 인증·결제·고비용 라우트 제한 | Laravel 내장 — 이미 보유 |
| AI 봇 UA 백스톱 / 페이지 관측 | 앱 미들웨어 — 옵트인 제공 |
이어지는 문서:
- 봇 차단 정책 — 포털/AI/악성 3분류, Cloudflare 설정, robots.txt, 앱 토글
- 페이지 관측(Observability) — 로딩시간·응답 용량 기록과 모니터링