블로그

Azure Sentinel을 사용하여 BIG-IP 고급 WAF 위협 시각화, 경고 및 보고를 중앙 집중화

톰 앳킨스 썸네일
톰 앳킨스
2022년 11월 22일 게시

비즈니스 및 소비자 애플리케이션에 대한 수요는 둔화될 조짐이 보이지 않으며, 이로 인해 분산된 멀티 클라우드 아키텍처에서 작업 부하가 빠르게 확산되고 있습니다. 동시에 사이버 위협은 점점 더 만연하고 정교해져 보안 팀은 애플리케이션 포트폴리오와 데이터를 보호하기 위해 최신 최고의 기술에 막대한 투자를 할 수밖에 없게 되었습니다. 많은 기업은 다양한 위협에 대비해 강력한 보안 태세를 구축하기 위해 일반적으로 여러 공급업체에서 제공하는 다양한 솔루션을 혼합하여 배포합니다. 따라서 각 솔루션은 서로 분리된 고유한 이벤트 알림 기능과 대시보드를 제공할 가능성이 높으며, 이로 인해 여러 솔루션에 대한 포괄적인 위협 보기를 수집하는 작업이 지루하고 시간이 많이 걸리며 매우 비효율적입니다. 이 시나리오는 아래 그림 1에서 높은 수준으로 표현될 수 있습니다.

그림 1: 보안 가시성과 경고 복잡성을 도입하는 멀티 클라우드 아키텍처의 예

대부분 조직의 보안팀은 그림 1에 표시된 것보다 훨씬 많은 보안 장치와 환경으로 구성된 복잡한 아키텍처를 보호할 책임이 있기 때문에 이러한 운영 모델은 확장성이 전혀 없고 앱과 데이터의 위험을 증가시킬 수 있습니다. 이러한 이유로 많은 사람들이 보안 정보 및 이벤트 관리(SIEM) 여러 보안 시스템에서 데이터를 집계, 분석, 시각화하는 데 도움이 되는 제품입니다. 놀랍지 않게도 2022년 Cybersecurity Insiders SIEM 설문 조사에 따르면 조직의 80%가 이미 SIEM 솔루션을 구현했거나 가까운 미래에 구현할 계획인 것으로 나타났습니다. 주된 목적은 보다 빠른 이벤트 감지와 보다 효율적인 보안 운영을 달성하는 것입니다. 같은 보고서는 2021년부터 2022년까지 SIEM 시장이 클라우드와 SaaS 기반 제품으로 전환하는 광범위한 시장에 대응하여, 온프레미스에 하드웨어 또는 소프트웨어 기반 SIEM 솔루션을 구축하는 기업이 줄어들고 Azure Sentinel 및 Sumo Logic과 같은 클라우드 기반 SaaS 솔루션으로 마이그레이션하는 기업이 늘어났다고 언급했습니다. 보안 공급업체가 SIEM 솔루션과의 통합을 제공한다면 그림 1의 예시 아키텍처는 크게 단순화될 수 있으며 모든 위협 이벤트는 그림 2와 같이 중앙 집중식 SIEM 도구 내에서 컴파일됩니다.

그림 2: SIEM 도구 도입을 통해 멀티 클라우드 보안 알림 및 가시성 간소화

최근 몇 년 동안 고객의 SIEM 도입이 늘어나는 것을 관찰한 F5는 제품군과 SIEM 통합을 검증하는 것을 주요 초점으로 삼았습니다. BIG-IP, NGINX 또는 F5 Distributed Cloud Services 등 각 솔루션은 Splunk, Exabeam, Microsoft Azure Sentinel 등을 포함한 다양한 주요 SIEM 플랫폼과 호환됩니다.

후자에 초점을 맞춘 F5의 BIG-IP Advanced WAF는 몇 년 동안 Azure Sentinel과의 통합을 제공해 왔으며 상당수의 Azure 고객이 이를 활용하고 있습니다. BIG-IP Advanced WAF 인스턴스가 온프레미스, 콜로케이션 시설, Azure 또는 기타 클라우드 환경 등 어디에 배포되었는지에 관계없이 이러한 통합을 통해 Sentinel은 각 인스턴스에서 실시간 데이터를 수집하고 조직의 전체 애플리케이션 포트폴리오에 대한 통합된 위협 보기를 제공할 수 있습니다. 이 시나리오는 아래의 세 번째이자 마지막 다이어그램에 반영되어 있습니다.

그림 3: Azure Sentinel 내에서 분산된 BIG-IP Advanced WAF 데이터 및 경고 집계

현재 BIG-IP Advanced WAF 인스턴스를 Azure Sentinel에 연결하는 방법은 두 가지가 있으며, 두 방법 모두 권장되며 완전히 무료입니다. 첫 번째는 F5 Telemetry Streaming을 활용하는 것으로, 이름에서 알 수 있듯이 BIG-IP의 확장 기능으로, 이를 통해 데이터를 타사 분석 솔루션으로 스트리밍할 수 있습니다. 이 접근 방식에 대한 유일한 요구 사항은 각 인스턴스가 최소한 소프트웨어 버전 v13.1을 실행해야 한다는 것입니다. 또는 Syslog나 CEF(Common Event Format)를 활용하는 보다 표준적인 산업 기술에 익숙하다면 두 가지 모두 지원됩니다.

BIG-IP Advanced WAF 인스턴스를 Azure Sentinel에 연결하는 방법에 대해 자세히 알아보려면 아래 Azure Marketplace 목록에서 각 통합 방법에 대한 추가 정보를 찾을 수 있습니다.