리소스 백서

고급 웹 애플리케이션 방화벽(WAF) Launchpad

조직에 WAF가 필요한 이유는 무엇입니까?

오늘날 기업들은 웹 기반 및 클라우드 호스팅 애플리케이션을 사용하여 사업을 확장하고 있습니다. 따라서 보안 위협으로부터 기업을 보호하기 위해 강력하고 민첩한 웹 애플리케이션 방화벽(WAF)을 갖추는 것은 사치가 아니라 필수입니다.

웹 및 클라우드 기반 애플리케이션이 더욱 빠르게 확산됨에 따라 공격은 점점 더 정교해지고 빈번해지고 있으며, 이로 인해 기업의 중요한 데이터와 운영이 위협받고 있습니다. 이로 인해 관리자와 보안 팀이 최신 공격 및 보호 조치에 대한 최신 정보를 얻는 것이 훨씬 더 어려워졌습니다. 동시에, 온라인 상거래에 대한 엄격한 규정 준수 요구 사항(예: 지불 카드 업계 데이터 보안 표준)을 충족하고, SQL 주입, DDoS 공격, 다각적인 제로데이 공격과 같은 일반적인 공격으로부터 비즈니스에 중요한 웹 애플리케이션을 보호해야 하며, 기존 환경과 클라우드 환경에서 안전한 데이터 공유를 지원해야 합니다.

WAF를 배포하려면 무엇이 필요합니까?

기업은 합법적인 트래픽을 차단하지 않으면서 정확한 탐지 범위를 보장하기 위해 다양한 기술을 조합하여 사용할 수 있습니다. 전통적으로 가장 널리 사용되는 WAF 구성은 위협/공격이 포함된 거래를 제외한 모든 거래를 허용하는 부정적 보안 모델이었습니다. 부정적 보안은 알려진 위협과 공격을 탐지하도록 설계된 서명과 규칙을 활용합니다. 수년에 걸쳐 공격에 대한 지식이 축적되었기 때문에 서명 규칙 데이터베이스는 상당히 방대할 것입니다. 이는 웹 주입, OWASP 상위 10대 위협, 교차 사이트 스크립팅(XSS) 등을 포함한 일반적으로 알려진 위협을 차단하는 즉시 사용 가능한 보호 모델입니다.

최근 몇 년 동안, 긍정적 보안 모델이 더욱 인기를 얻고 있습니다. 이 접근 방식은 모든 트래픽을 차단하고 유효하고 안전한 것으로 알려진 거래만 허용합니다. 긍정적인 접근 방식은 엄격한 콘텐츠 검증과 통계 분석을 기반으로 하며, 이는 제로데이 위협과 취약성 조작을 방지하는 데 더 효과적일 수 있습니다. 실제로 효과적인 긍정적인 보안 접근 방식을 위해서는 해당 애플리케이션과 예상 용도에 대한 심층적인 지식이 필요합니다.

도전

수행해야 할 여러 개의 상호 연결된 단계

긍정적 모델과 부정적 모델은 모두 "보안"과 "기능성" 간의 섬세한 균형을 이룰 수 있습니다. 그러나 긍정적 보안 모델이나 부정적 보안 모델만으로는 모든 상황이나 환경에서 가장 경제적인 솔루션을 제공할 수 없습니다. 비즈니스 요구 사항과 통합하면 긍정적, 부정적 접근 방식을 통합하여 조직은 보안 정책 구현에서 최대의 ROI를 실현할 수 있습니다.

비즈니스 목표에 가장 잘 부합하는 WAF 배포에 대한 적절한 결정을 내리는 것은 어려울 수 있습니다. 시간과 자원에 대한 필요성은 일반적으로 선택한 제품을 사용하는 데 필요한 적절한 노하우와 확신에 대한 필요성과 충돌합니다.

고객이 WAF 서비스 구현 프로젝트를 계획하고 제공할 때 거쳐야 할 여러 단계가 있습니다.

"가장 적합한" WAF 전략을 구축하고 모든 내부 이해 관계자의 승인을 받으세요.
WAF 제품을 효율적으로 사용하여 올바른 정책과 매개변수 세트를 구현합니다.
수백 개의 애플리케이션에 걸쳐 WAF 서비스 배포를 계획합니다.
프로덕션 환경에서 일상적인 서비스 운영과 수명 주기 관리를 계획합니다.

각 단계는 공통적인 과제를 제공합니다

기업 및 비즈니스 보안 요구 사항(또는 기대치)은 항상 기술적, 운영적, 리소스 제약을 충분히 고려하지 않습니다. 그러면 조직이 그 목표를 달성하기 위해 필요한 모든 것을 갖추었는지 확인하기도 전에 아주 정교한 전략을 설계해서 높은 수준의 목표를 달성하려는 유혹에 빠지게 됩니다. 이 문제를 해결하려면 많은 경우 상황에 대한 중립적인 평가와 분석이 필요할 수 있습니다.
기업 소유자가 요구하는 애플리케이션 가용성과 CISO 팀이 요구하는 보호 수준 간의 균형을 이루는 것은 항상 쉽지 않습니다. 예를 들어, 사업체 소유자는 거짓 긍정이나 WAF 정책이 너무 제한적이어서 애플리케이션이 차단되는 것을 원하지 않습니다. 여기에서도 상황에 대한 공정하고 교육받은 평가와 분석을 통해 조직은 적절한 균형을 찾고 생산에 미칠 수 있는 영향을 해결하기 위한 완화 계획을 수립하는 데 도움이 될 수 있습니다.
소프트웨어 공급업체의 교육에 참석하거나 제품 인증을 통과하는 것이 좋지만, 실제 회사 환경, 목표, 제약 내에서 실습하는 노력을 아낄 수는 없습니다.
고객이 가장 자주 궁금해하는 질문 중 하나는 대량의 애플리케이션을 어떻게 보호할 것인가입니다. 그러나 많은 경우, 정보의 양 자체가 주요 문제가 아니며, 각 애플리케이션에서 사용할 수 있는 정보의 품질과 완전성은 실제로 WAF 프로젝트를 방해할 수 있으므로 설계 및 구현 전략에 대한 추가 고려가 필요합니다. WAF 구현 경험은 관련 기준을 발견하고 애플리케이션의 특성화와 그룹화를 확립하며 전반적인 WAF 서비스 설계와 구현 전략을 적용하는 데 매우 도움이 됩니다.
종종 고객은 실행 가능성과 지원 가능성을 보장하기 위해 이후 단계에 대한 사전 고려 사항을 포함하는 것을 잊습니다. 아마도 가장 자주 저지르는 실수는 바로 이것일 것입니다(즉, 장기적으로 운영 환경에서 솔루션을 운영할 때 선택한 설계 및 구현 모델의 의미를 연구하지 않고 솔루션을 설계하고 계획하는 것). 일반적인 예로, 전체 환경이 모든 측면에서 정기적인 변화(위협, 완화책, 애플리케이션 릴리스 등)에 직면해 있는 반면, 매우 정교한 WAF 정책을 유지하는 데 필요한 리소스를 과소평가하는 경우가 있습니다.

F5 솔루션

F5 Professional Services는 귀하의 환경에 맞는 솔루션을 맞춤화합니다.

다양한 배포 방법(실제 트래픽 정책 빌더 포함), 수동 학습, 취약성 스캐너 통합, 공격 시그니처, 무차별 대입 공격 방지, 지리적 위치 적용, 봇 탐지, DDoS 완화 등의 고급 기능을 갖춘 BIG-IP Advanced WAF의 포괄적인 기능 세트를 통해 필요에 맞는 구성을 신속하게 구축한 후 확장하고 개선하여 변화하는 위협에 대처하고 가장 까다로운 고객 요구 사항도 충족할 수 있습니다.

F5 Professional Services는 Advanced WAF BIG-IP 모듈을 구매하고 때로는 프로비저닝하기도 했지만 아직 효과적인 WAF 서비스를 구축하지 않은 고객(예: 투명 모드에서만 몇 가지 정책만 적용)을 위해 Advanced WAF Launchpad 서비스를 특별히 만들었습니다.

Advanced WAF Launchpad 서비스는 F5 Professional Services의 전문성과 경험을 활용하여 고객이 특정 사용 사례 문제를 극복하고 성공적인 Advanced WAF 구현 프로젝트에 참여하는 데 도움을 제공합니다.

서비스 범위

이 서비스에는 F5 Professional Services의 보안 전문가와 고객의 보안, 인프라, 네트워크 및 애플리케이션 관리 팀 간의 협업이 포함됩니다.

이 서비스의 두 가지 목적은 F5 모범 사례를 활용하여 목적에 맞는 고급 WAF 정책 구현 전략을 개발하고, 고객이 직접 실무에 적용할 수 있는 노하우와 전문 지식을 전수하는 것입니다.

서비스 제공 접근 방식

이 서비스는 2일간의 서비스로, 고급 WAF 기능, 배포, 관리 요구 사항에 대한 이론과 실제를 다루며, 고객이 최적의 애플리케이션 보안을 위한 효과적인 고급 WAF 솔루션을 구현할 수 있는 자신감과 능력을 갖도록 보장합니다.

1단계: 고급 WAF 설계 및 배포 전략

참여 첫날은 고급 WAF 보안 정책 관리를 담당하는 보안 설계자, 설계자, 엔지니어, 운영 및 기타 이해 관계자가 참여하는 실무 세션으로 시작됩니다. F5 컨설턴트는 기존 맥락과 목표에 대한 데이터 수집과 공정한 분석을 주도하고, 권장 사항과 모범 사례를 제공하며, 철저한 성찰을 통해 고수준의 설계 및 구현 전략을 개발합니다.

첫째 날이 끝나면 F5 컨설턴트는 조사 결과와 권장 사항을 강조한 보고서를 작성합니다.

2단계: 정책 생성 및 구현

이 단계는 정책을 만들고 이를 가상 서버에 적용하여 주어진 웹 애플리케이션 하나에 적용하는 것으로 구성됩니다. 해당 정책 구현 전략에 맞춰 한 번에 수행할 수도 있고, 여러 개의 하위 작업으로 나누어 수행할 수도 있습니다.

예를 들어, 신속한 배포 방법을 사용하여 고객 테스트베드에 정책을 구현하는 작업은 한 세션에서 수행할 수 있지만, 자동 정책 빌더를 사용하여 정책을 생성하는 작업(즉, "실제" 트래픽을 장기간 검사할 수 있는 경우)은 기본 정책을 설정하는 하위 작업으로 분할하고, 나중에 정책 튜닝 및 차단 모드로 전환하는 하위 작업으로 분할할 수 있습니다.

결론

관련 전문 지식과 경험을 갖춘 숙련된 컨설턴트의 실시간 지원은 WAF 서비스 배포 프로젝트를 올바른 방향으로 이끌고 고급 WAF 소유자가 정보에 입각하고 효율적인 결정을 내리는 데 가장 좋은 솔루션인 것으로 종종 입증되었습니다.

BIG-IP Advanced WAF Launchpad 서비스에 대한 자세한 내용은 F5 Professional Services 에 문의하세요.