블로그

클라우드 앱을 위한 엔터프라이즈급 보안

로버트 헤인스 썸네일
로버트 헤인스
2016년 10월 27일 게시

클라우드에 HTTP 애플리케이션이 있는 경우(어떤 클라우드이든) 해당 애플리케이션이 취약할 가능성은 상당히 있습니다. 애플리케이션과 이를 실행하는 프로토콜은 SQL 주입이나 TLS 프로토콜 악용과 같은 애플리케이션 공격의 주요 대상으로 남아 있습니다. 실제로 WhiteHat Security 의 최근 보고서에 따르면 다양한 산업 분야의 애플리케이션이 "연간 151~270일 정기적으로 취약한" 경우가 50%가 넘습니다. 즉, 대부분 조직의 경우 애플리케이션의 절반 이상이 절반의 시간 동안 취약하다는 뜻입니다.

클라우드 제공업체는 이를 이해합니다. 그들은 인프라 와 네트워크 보안에 상당한 시간과 비용을 투자했습니다. 그들은 견고한 보안의 필요성을 인식하고 있으며, 전반적으로 하이퍼바이저, 네트워크, 제어 평면 및 물리적 보안을 보호하기 위해 최선을 다해 약속한 바를 이행했습니다.  

그러나 애플리케이션을 보호하는 것은 더 어려운 문제입니다. 웹 애플리케이션 방화벽, 즉 WAF 는 애플리케이션 계층 공격으로부터 애플리케이션을 보호하는 데 가장 선호되는 솔루션이 되었습니다. 고객에게 더 나은 보안을 제공하겠다는 지속적인 사명을 지닌 클라우드 공급업체는 WAF 서비스를 제공하기 시작했습니다. 그러나 애플리케이션 계층 보안은 효과적인 보호와 운영의 단순성 사이에서 섬세한 균형을 이루어야 하며, 이로 인해 일반화된 클라우드 서비스가 간단하고 솔직히 쉽게 무너질 수 있는 보호 외에는 아무것도 제공하지 못하는 것이 어렵습니다.

문제는 WAF를 운영하는 것이(어떤 종류의 WAF이든) 복잡하고 가치가 높은 작업이라는 것입니다. 인력, 지식, 그리고 지속적인 유지관리가 필요합니다. 올바른 기술을 사용하지 않으면 모든 노력이 낭비됩니다. 기본적인 7계층 보호 도구는 일반적으로 간단한 패턴 매칭에 의존합니다. 이는 일부 일상적인 공격에 대한 귀중한 방어수단이 될 수 있지만, 애플리케이션을 포괄적으로 보호하는 것은 아닙니다.

기본 패턴 매칭을 넘어 클라이언트 식별, 머신 러닝, 응답 검사 영역까지 확장해주는 모든 기능을 갖춘 WAF를 사용하는 것이 최선의 선택입니다. 각 애플리케이션이나 서비스에 필요한 보호 수준을 선택한 후 적절한 제어 기능을 구현할 수 있습니다. 보다 포괄적인 보호에는 더 많은 관리가 필요하지만, 기능이 풍부한 WAF 솔루션에는 중앙 집중식 정책 관리 및 배포를 위한 더 나은 도구가 제공됩니다.

애플리케이션에 보호가 필요한 경우 효과적으로 보호하는 것이 좋습니다. 기업이나 규제 요구 사항을 충족할 뿐만 아니라 애플리케이션과 이를 지원하는 비즈니스를 사전에 방어할 수 있는 적절한 기술이 있는지 확인하세요.