AWS WAF를 위한 F5 관리 규칙 세트 발표
작년 11월 AWS re:Invent에서 F5 부스에서 우리는 IT 전문가들에게 앱과 관련한 가장 큰 과제가 보안, 기술 부족, 클라우드 마이그레이션의 복잡성 중 어느 것인지에 대한 여론조사를 실시했습니다. 놀랍지 않게도 가장 큰 우려 사항은 보안이었습니다. Verizon 에 따르면 2017년에 데이터 침해의 1위 원인은 웹 애플리케이션 공격이었습니다.
모든 애플리케이션이 동일한 것은 아니므로 보안 요구 사항은 비즈니스 목적, 배포 위치, 사용자 데이터의 민감성 또는 중요성, 규정 요구 사항을 포함한 여러 요소에 따라 달라집니다. 특정 애플리케이션의 경우 엔터프라이즈급 웹 애플리케이션 방화벽(예: F5의 BIG-IP ASM )이 제공하는 고급 기능과 보호 기능이 필요하지 않을 수 있으며, 적어도 초기에는 클라우드 공급업체의 기본 WAF와 같은 보다 기본적인 방화벽으로 충분할 수 있습니다.
애플리케이션을 시작하기 위해 AWS WAF를 이미 구축했거나 구축을 고려 중인 개발자들을 위해 흥미로운 소식이 있습니다. AWS는 AWS WAF에서 새로운 F5 관리형 보안 규칙 제품을 출시한다고 발표 했습니다. 이러한 제품은 기본 AWS WAF와 함께 사용하여 애플리케이션의 전반적인 보안 태세를 강화할 수 있습니다. F5는 다양한 위협 유형에 대해 고유한 보호 기능을 제공하는 3가지 별도의 규칙 세트를 개발했습니다. 이것들은 다음과 같습니다.
- 봇 보호 – 취약점 스캐너, 웹 스크래퍼, DDoS 도구, 포럼 스팸 도구와 같은 악의적인 봇 활동을 방지합니다.
- CVE 취약점 – Apache, Bash, Java, MySQL, Ruby On Rails, WordPress 등의 시스템을 타겟으로 하는 일반적인 취약점 및 노출(CVE)로부터 보호합니다.
- 웹 악용 – OWASP 상위 10대 위협에 속하는 공격(교차 사이트 스크립팅, SQL 주입, 경로 탐색 및 예측 가능한 리소스 포함)으로부터 보호합니다.
모든 규칙은 F5 보안 전문가가 정기적으로 작성, 관리 및 업데이트하므로 새로운 취약점으로부터 보호하기 위해 수동으로 버전을 업데이트하는 것에 대해 걱정할 필요가 없습니다. 또한, 몇 번의 클릭만으로 이러한 고급 WAF 기능을 기본 AWS WAF에 추가하고, 특정 애플리케이션에 적용한 다음, 계약이나 다른 약정 없이 사용한 만큼만 요금을 지불하는 종량제 유틸리티 모델로 요금을 지불할 수 있습니다.
이 통합 솔루션을 통해 빌더는 AWS 애플리케이션에서 F5의 업계 최고 WAF를 활용할 수 있는 쉬운 방법을 제공합니다.
추가 자료