블로그

BIG-IP ASM에서 F5 Advanced WAF로 마이그레이션하여 웹 앱 보안을 앞서가세요

Navpreet Gill 썸네일
나브프리트 길
2021년 6월 11일 게시

애플리케이션 기술이 발전함에 따라 위협 환경도 함께 발전합니다. 강력한 보안 조치도 뒤따라야 합니다. 불행히도 웹 애플리케이션 공격은 현실이며 전 세계적으로 매분 발생하고 있습니다. 또한, 모바일 앱과 API를 타겟으로 하는 새로운 공격 벡터가 등장하고 있습니다. 이제는 그 어느 때보다도 포괄적인 웹 및 API 보안 도구가 필요합니다.

F5는 앱이 어디에 배포되든 앱을 보호하는 광범위한 솔루션 포트폴리오를 통해 웹 앱과 API 보안에 지속적으로 투자하고 있습니다. WAF 포트폴리오의 진화의 결과로 F5는 공식적으로 BIG-IP Application Security Manager(ASM)를 배치했습니다. 4월 1일부터 판매 종료(EoS) 상태, 2021 (F5 지원 발표 – K72212499).

F5는 2004년부터 ASM을 처음 제공했습니다. 그 이후로 당사의 WAF 포트폴리오는 F5 Advanced WAF , F5 Silverline Managed WAF , NGINX App Protect (NAP)를 포함하도록 크게 확대되었습니다. F5는 고객님의 특정 요구 사항을 해결하는 동시에 제공 서비스를 간소화하는 최고의 솔루션을 제공해 드리고자 합니다. Advanced WAF는 BIG-IP ASM의 모든 기능과 성능에 더해 여러 가지 확장된 기능을 포함하고 있어 출시 이래로 최고의 WAF 솔루션이었습니다.

BIG-IP ASM 고객은 계약 또는 구독(선택 시) 종료일까지 아무런 영향 없이 ASM을 계속 사용할 수 있습니다. 처음 구매한 라이선스에 따라 서비스 계약을 갱신할 수 있습니다. 하지만 EoS 날짜부터는 새로운 BIG-IP ASM 라이선스를 구매하거나 교환할 수 없습니다.

또 다른 대안은(아래에 나열된 여러 가지 이유에서 아마도 더 나을 것입니다) 기존 고객이 EoS 날짜까지 무료로 Advanced WAF 버전 14.1 이상으로 업그레이드하거나 (ASM 14.1을 실행 중인 경우 라이선스를 전환)하는 것입니다. Advanced WAF는 BIG-IP ASM과 동일한 검증된 기술을 기반으로 하므로 마이그레이션이 간단합니다. 이 무료 마이그레이션을 활용하려면 라이선스 키를 다시 활성화하기만 하면 됩니다. 마이그레이션 후 여기에 나열된 고급 WAF 기능 플래그가 표시되기 시작합니다.

F5의 고급 WAF는 배포를 간소화하는 새로운 가이드 구성, 더 높은 가시성을 제공하는 대시보드, 확장된 L7 DoS 보호 기능, 실시간으로 중요한 데이터 필드가 손상되지 않도록 보호하는 DataSafe 기능, API 보호 등 향상된 사용성과 향상된 애플리케이션 보호 기능을 제공합니다. 위협 캠페인 과 같은 일부 증강 기능은 라이선스가 재활성화되고 BIG-IP 버전 14.1 이상으로 업그레이드되면 추가 기능도 구매할 수 있습니다. 이 무료 이전의 또 다른 이점은 원래 구매와 관련된 지원 비용만 계속 지불하면 된다는 것입니다 . Advanced WAF로 마이그레이션한 후에도 ASM 지원 약관이 계속 적용됩니다. 좋은 소식이에요! 무료 마이그레이션은 Advanced WAF 버전 14.1 이상에만 적용됩니다. 라이선스 키 활성화에 대한 자세한 내용과 Advanced WAF 라이선스가 ASM과 어떻게 다른지에 대한 추가 세부 정보를 알아보려면 DevCentral을 방문하세요 .

판매 종료된 BIG-IP ASM에서 F5 Advanced WAF로 마이그레이션해야 하는 또 다른 이유는 향상된 API 보호와 최신 애플리케이션 개발 프레임워크와의 통합 때문입니다.

Agile 개발 모델이 도입되면서 SecOps가 애플리케이션 개발자와 DevOps 팀이 보안 제어를 적절히 구현하는 속도에 맞춰 나아가는 것이 어려워졌습니다. 최신 애플리케이션은 마이크로서비스와 API로 구성되며 오픈 소스 소프트웨어를 사용하여 위험과 위협 표면 영역을 증가시킵니다. 최근 Gartner eBook에서는 사이버보안 메시를 올해(2021년)의 보안 및 위험 요소 1위로 꼽았습니다. 왜 보안은 계속해서 어려운 문제인가?

최신 개발 프로세스는 CI/CD(지속적인 통합/지속적인 개발) 원칙을 기반으로 하며, 특히 WAF와 같은 보안 제어는 종종 소프트웨어 개발 수명 주기(SDLC)의 마지막이나 끝에 배치됩니다. 따라서 DevOps가 "운영" 단계에서 실패한 테스트에 직면하면 보안 오류로 처리됩니다. 이로 인해 DevOps와 SecOps 간에 갈등이 (다시 한 번) 발생할 수 있으며, DevOps가 코드로 돌아가서 수정한 다음 다시 배포, 운영, 모니터링을 계속 진행해야 하므로 제품 출시 시간을 놓치고 경쟁 우위가 저하될 수 있습니다.

그러나 CI/CD 파이프라인에서 보안 제어를 왼쪽으로 옮기면 DevOps와 SecOps는 프로세스 전반에 걸쳐 보안 책임을 공유하고 개발 단계에서 모든 "보안 오류 구성"을 누락된 테스트 사용 사례로 처리합니다.

이 상황을 더 잘 해결하기 위해 F5는 WAF 정책 구축 및 기준 설정을 개발 프로세스에 맞출 수 있습니다. F5는 인프라와 보안 정책 제어를 모두 선언적 API 형태의 코드로 제공할 수 있는 접근 방식을 활용합니다. 이를 통해 F5 Advanced WAF 고객은 아래 다이어그램에 표시된 대로 애플리케이션 배포와 WAF 정책을 모두 자동화할 수 있습니다.

그리고 애플리케이션 소스 코드와 마찬가지로 F5 WAF 정책은 저장소에 보관할 수 있으므로 SecOps는 다른 코드와 마찬가지로 개발 파이프라인에 통합할 수 있는 공통 보안 제어를 소유하고 유지 관리할 수 있습니다. 이러한 접근 방식은 DevOps와 SecOps가 운영상의 격차를 메우고 더 낮은 비용과 더 높은 보안 효율성으로 앱을 더 빠르게 출시하는 데 도움이 됩니다. F5 Advanced WAF를 활용한 DevOps를 위한 보안 자동화에 대해 자세히 알아보려면 이 솔루션 가이드를 확인하세요.

마이그레이션을 고려하고 있는 BIG-IP ASM 고객을 위한 또 다른 옵션은 NGINX 플랫폼에서 F5 WAF 기술을 제공하는 NGINX App Protect(NAP)입니다. NGINX App Protect는 간단하고 가벼우며 사용하기 쉽고, Advanced WAF 엔진이 NGINX App Protect의 기반 역할을 하므로 Advanced WAF로부터 검증된 보안을 제공합니다.

F5의 Advanced WAF 엔진은 또한 완벽하게 관리되는 서비스로 Advanced WAF의 강력한 앱 보안 제어를 제공하는 Silverline Managed WAF를 포함하여 F5의 웹 애플리케이션 보안 서비스의 기반이기도 합니다. 고객은 Silverline에 Advanced WAF 엔진을 통합하여 현재 ASM 보안 정책을 Silverline Managed WAF에 쉽게 적용할 수 있습니다.

F5 Advanced WAF 엔진을 사용하면 퍼블릭/프라이빗 클라우드, 온프레미스, 심지어 하이브리드 환경을 포함한 모든 환경에 일관된 WAF 보호 정책을 이식할 수 있습니다. F5 Advanced WAF 엔진(F5 Advanced WAF, Silverline Managed WAF 및 NGINX App Protect)을 활용한 F5 제품 전반에 걸친 친숙한 사용자 인터페이스, 유사한 정책 및 정책 생성은 고객에게 F5의 WAF 포트폴리오 전반에 걸쳐 간단하고 통합적이며 일관된 경험을 제공합니다.

BIG-IP ASM에서 마이그레이션하는 방법에 대한 자세한 내용을 알아보려면 F5 또는 해당 채널 파트너 에 문의 하세요. 또한, 오전 10시에 열리는 라이브 웨비나에 참석하세요. 6월 15일 화요일 PT: F5 Advanced WAF 보호 기능을 업그레이드하여 원치 않는 봇 트래픽을 차단하세요