F5는 새로운 PCI DSS v4.0 요구 사항을 해결하는 데 도움을 드립니다.

PCI DSS v3.2.1에서는 조직이 최소한 1년에 한 번 또는 애플리케이션의 상당한 변경 이후에는 수동으로 또는 자동화된 애플리케이션 취약성 보안 평가 도구를 이용해 공개 웹 애플리케이션을 보호할 수 있는 옵션이 제공되었습니다. 또는 웹 기반 공격을 지속적으로 탐지하고 방지하기 위해 공개적으로 이용되는 모든 웹 애플리케이션 앞에 자동화된 솔루션을 설치하고, 공격을 차단하거나 공격 시 알림을 생성하도록 구성할 수도 있습니다. 그러나 PCI DSS v4.x를 사용하려면 조직에서 웹 기반 공격을 지속적으로 탐지, 방지하고 경고를 생성하기 위해 공개 웹 애플리케이션 앞에 솔루션을 배포 해야 합니다 (PCI DSS v4.0 하위 섹션 6.4.2).

이것이 바로 웹 애플리케이션 방화벽(WAF)의 역할입니다. WAF는 공개적으로 노출되는 애플리케이션 앞에 설치되어 애플리케이션 트래픽을 확인하고, 웹 기반 공격을 탐지하고 보호합니다. WAF는 애플리케이션과 해당 소프트웨어 공급망(핵심 코드, 타사 라이브러리, 빌드 도구 및 오늘날의 복잡하고 정교한 애플리케이션을 구성하는 기타 코드)의 일반적이고 알려지지 않은 취약성을 악용할 수 있는 공격을 포함하여 애플리케이션 계층 공격을 방지합니다. WAF는 구현이나 구성의 결함을 악용하려는 공격과 결제, 자격 증명, 설치된 애플리케이션을 표적으로 삼는 자동화된 공격으로부터도 보호합니다.

F5는 어디에 있는 모든 애플리케이션과 API를 보호합니다. 당사의 WAF 솔루션은 애플리케이션이 어디에 있든 관계없이 모든 애플리케이션 앞에 배포될 수 있습니다. 온프레미스, 데이터 센터 또는 클라우드에 있는 애플리케이션을 보호하기 위한 WAF가 필요한지 여부에 관계없이 F5는 포괄적인 애플리케이션 계층 보안을 제공하고 악용 및 공격으로부터 보호하는 WAF 솔루션을 제공합니다. F5 WAF는 어플라이언스, 소프트웨어 또는 셀프 서비스나 관리형 서비스를 통한 클라우드에서 사용할 수 있으며, 컨테이너화된 애플리케이션과 Kubernetes를 보호하는 등의 용도로 사용할 수 있습니다.

F5 제품은 레벨 1 PCI DSS 서비스 공급자로 인증되었습니다 . PCI SSC에서 정의한 서비스 제공자는 브랜드가 적용된 결제 카드나 기타 폼 팩터를 제공하지 않지만 다른 조직을 위해 카드 소유자 데이터나 민감한 인증 데이터를 처리, 저장 또는 전송하는 조직입니다. F5 Distributed Cloud Services를 통한 F5와 같이 카드 소유자 데이터나 중요한 인증 데이터의 보안을 제어하거나 영향을 미치는 서비스를 제공하는 회사도 PCI DSS v4.0 서비스 제공자로 분류됩니다. F5 제품 기능은 고객이 상품 및/또는 서비스에 대한 결제 수단으로 브랜드화된 참여 결제 수단의 로고가 있는 결제 카드를 수락하는 모든 기관을 PCI SSC에서 정의한 상인으로서 PCI DSS 요구 사항을 충족하는 데 도움이 됩니다.

F5 분산 클라우드 서비스는 결제 카드 데이터를 저장, 처리 또는 전송하는 조직을 위해 PCI DSS v4.0 표준의 많은 섹션과 하위 섹션을 처리하는 수많은 서비스를 제공합니다.

F5 분산형 클라우드 WAF는 클라우드, 데이터 센터, 엣지 위치 등 어디에서나 앱을 보호합니다. 중간 프록시로서, 분산형 클라우드 WAF는 애플리케이션 요청과 응답을 검사하여 OWASP 상위 10가지 범주, 위협 캠페인, 악의적 사용자, 7계층 DDoS 위협, 봇 및 자동화된 공격 등을 포함한 위험을 차단하고 완화합니다. 포괄적이고 일관된 보안 제어 및 정책을 통해 웹 애플리케이션 공격 및 취약성을 완화하며, 구성, 배포, 관리 및 확장이 쉬운 관찰 기능을 제공합니다. F5 분산형 클라우드 WAF는 앱 개발 프로세스에 보호 기능을 간편하고 원활하게 통합하여 더 빠르고 안전한 애플리케이션 제공 및 릴리스 주기를 가능하게 합니다. F5 분산 클라우드 WAF는 자동화된 시그니처 튜닝을 통해 시그니처 및 AI 기반 탐지 기술을 활용하여 최대 효율로 빠르고 간단한 애플리케이션 계층 보안을 제공합니다. 분산 클라우드 서비스의 새로운 AI 어시스턴트는 실시간 통찰력, 실행 가능한 권장 사항, 데이터 보고서 요약을 제공하는 자연어 인터페이스를 통해 분산 앱 및 API의 보안을 단순화하는 데 도움이 됩니다.

F5 NGINX App Protect는 일관된 보호 기능을 통해 분산 아키텍처와 하이브리드 환경에서 API와 최신 애플리케이션을 보호하도록 설계된 가볍고 고성능의 WAF입니다. 플랫폼에 구애받지 않는 NGINX App Protect는 애플리케이션 개발 프로세스에 완벽하게 통합되어 계층 7 서비스 거부(DoS) 공격과 봇을 포함한 애플리케이션 공격을 탐지하고 보호합니다. 강력하고 지연 시간이 짧은 앱 보안 솔루션인 NGINX App Protect를 사용하면 Kubernetes 클러스터와 클라우드에서 앱 보안을 확장하여 컴퓨팅 비용을 크게 절감할 수 있습니다. 다층 방어 기능을 제공하여 활발한 사이버 공격 캠페인을 완화하고 OWASP Top 10 범주의 보호 수준을 뛰어넘습니다.

F5 BIG-IP Advanced WAF는 F5의 대표적인 웹 애플리케이션 방화벽입니다. 수상 경력에 빛나는 Advanced WAF의 탐지 및 완화 기능은 분산형 클라우드 WAF와 NGINX App Protect의 엔진 역할을 합니다. 행동 분석, 7계층 DoS 완화, 중요 데이터의 애플리케이션 계층 암호화, 위협 인텔리전스 서비스를 갖춘 BIG-IP Advanced WAF는 분산형 하이브리드 환경에서 애플리케이션을 다양한 애플리케이션 공격으로부터 보호합니다. BIG-IP Advanced WAF는 OWASP Top 10에 나열된 위협으로부터 보안을 빠르고 간편하게 보장하는 전담 동적 대시보드를 제공합니다. BIG-IP Advanced WAF에는 일반적인 WAF 사용 사례에 대한 안내 구성과 학습 엔진이 포함되어 있으며 보안 정책에 대한 세부적인 사용자 정의가 가능합니다. 

또한 F5는 PCI DSS v4.0 표준에 적용 가능한 더 많은 영역을 다룰 수 있습니다.

• API는 업계와 조직의 거의 모든 거래에서 핵심적인 구성 요소입니다. PCI DSS v4.0.1은 맞춤형 및 사용자 정의 소프트웨어의 일부인 API를 보호하고 보안하기 위한 몇 가지 새로운 요구 사항을 도입합니다. F5 분산 클라우드 API 보안은 이러한 새로운 요구 사항 중 상당수를 해결하는 데 도움이 되며 API를 보호하는 제어 기능을 제공하고 일반적인 소프트웨어 공격 및 취약점을 방지하거나 완화하는 데 도움이 됩니다. PCI DSS v4.0.1에서 발견된 API 보안 요구 사항에 대한 더 자세한 내용을 알아보려면 Ian Dinno의 블로그 PCI DSS 4.0.1 업데이트를 읽어보세요. 고객 결제 프로세서에 필요한 주요 신규 API 보안 업그레이드 및 2025년 초에 추가 세부 정보가 포함된 새 블로그를 기대하세요.
• F5 분산 클라우드 웹 앱 스캐닝은 외부 공격 표면을 동적이고 지속적으로 스캔하여 노출된 웹 애플리케이션과 API를 찾아냅니다. 분산 클라우드 웹 앱 스캐닝은 자동화된 침투 테스트 기능을 통해 소프트웨어 공급망의 깊숙한 곳에 있는 잠재적으로 악용될 수 있는 취약점을 식별하여 보고합니다. 이를 통해 앱과 API를 공격과 악용으로부터 더 잘 보호할 수 있습니다. 분산 클라우드 웹 앱 스캐닝은 PCI DSS v4.0 하위 섹션 6.3.2를 충족하는 데도 도움이 됩니다.
• F5 Distributed Cloud Mobile App Shield는 모바일 앱을 맬웨어, 봇, 데이터 유출, 무단 액세스 및 중간자 공격(MiTM)으로부터 완벽하게 보호하여 규정 위반, 재정적 손실, 고객 이탈 및 평판 손상 등을 방지합니다. 분산형 클라우드 모바일 앱 실드는 탁월한 런타임 및 저장 시 보호 기능을 제공하여 모바일 앱을 사전에 강화하고, 변조를 방지하고, 악성 봇, 데이터 유출 및 API 남용을 차단합니다.
• PCI DSS v4.0 하위 섹션 8.4.2에서는 카드 소지자 데이터 환경(CDE)에 대한 모든 액세스에 대해 다중 요소 인증(MFA)을 구현해야 한다고 명시하고 있습니다. 카드 소지자 데이터 환경은 카드 소지자 데이터나 민감한 인증 데이터를 저장, 처리 또는 전송하는 시스템 구성 요소로 구성되거나 해당 시스템에 대한 무제한 연결성을 가질 수 있습니다. F5 BIG-IP Access Policy Manager(BIG-IP APM)는 날짜와 시간을 포함한 여러 요소를 기반으로 권한에 따라 애플리케이션 및 데이터에 대한 액세스를 제한하는 제로 트러스트 애플리케이션 액세스를 지원합니다. BIG-IP APM은 전송 중인 카드 소유자 데이터와 중요한 인증 데이터를 보호할 수 있습니다. 또한 단계별 인증도 허용하는데, 이 경우 정의된 사용자(CDE에 액세스하는 사용자나 원격 사용자 등)가 초기 액세스에 사용한 것과 다른 MFA 자격 증명을 포함하여 다른 인증 자격 증명 세트를 입력해야 합니다.
• IDS/IPS 및 맬웨어 방지 솔루션을 비롯한 중요한 보안 제어 시스템의 장애를 탐지하고 신속하게 해결하기 위해 F5 BIG-IP SSL Orchestrator 가 있습니다. BIG-IP SSL Orchestrator는 암호화된 트래픽을 복호화하고, 복호화된 트래픽을 사용자 정의 가능한 동적 서비스 체인을 통해 기존 보안 스택으로 조정하여 암호화된 위협 보호 기능을 제공합니다. 또한 보안 스택에 있는 솔루션으로의 트래픽 부하를 분산하고, 보안 스택에 있는 모든 솔루션의 상태를 모니터링하며, 보안 솔루션에 대한 암호 업데이트를 관리할 수 있습니다. 또한 보안 솔루션 중 하나가 오프라인이 되더라도 BIG-IP SSL Orchestrator의 동적 서비스 체인을 통해 신속하게 위험을 완화할 수 있으며, 오프라인 솔루션을 우회하고 의도치 않은 트래픽 우회와 같은 부정적인 영향을 완화할 수 있습니다. 보안 솔루션을 교체해야 할 때 BIG-IP SSL Orchestrator는 보안 서비스 변경 및 추가를 효율적으로 처리하고, 트래픽 흐름을 방해하지 않고 복호화된 트래픽을 원활하게 전송하여 검사를 실시합니다. BIG-IP SSL Orchestrator는 PCI DSS v4.0 하위 섹션 10.7.2, 10.7.3 및 11.5.1.1을 충족하는 데 도움이 됩니다.