WAF (Web Application Firewall, 웹방화벽) 란 무엇입니까?

WAF(Web Application Firewall, 웹방화벽)는 크로스-사이트 스크립팅(XSS), SQL injectionCookie poisoning과 같은 다양한 애플리케이션 레이어 공격으로부터 웹 애플리케이션을 보호합니다. 앱에 대한 공격은 보안 침해의 주요 원인으로, 중요한 데이터에 대한 관문 역할을 하게 됩니다. 적절한 WAF를 마련하면 시스템 보안 침해를 통해 데이터를 유출시키려는 공격을 막아낼 수 있습니다.

WAF(Web Application Firewall, 웹방화벽)는 어떻게 작동합니까?

 

WAF(Web Application Firewall, 웹방화벽)는 웹 애플리케이션으로 이동하는 악의적인 HTTP/S 트래픽을 필터링, 모니터링 및 차단하여 웹 앱을 보호하고, 승인되지 않은 데이터가 앱에서 나가는 것을 방지합니다. 이 작업은 악성 트래픽과 안전한 트래픽을 결정하는 데 도움이 되는 일련의 정책을 준수함으로써 이루어집니다. 프록시 서버가 클라이언트의 신원을 보호하는 중개자 역할을 하는 것처럼, WAF도 유사한 방식으로 작동하지만 잠재적으로는 악의적인 클라이언트로부터 웹 앱 서버를 보호하는 중개자 역할을 하는 역방향 프록시처럼 작동하기도 합니다.

WAF(Web Application Firewall, 웹방화벽)는 소프트웨어, 어플라이언스 또는 As-a-Service 형태로 제공될 수 있습니다. 정책은 웹 애플리케이션 또는 웹 애플리케이션 집합의 고유한 요구 사항을 충족하도록 커스트마이징이 가능합니다. 많은 WAF들이 새로운 취약점을 해결하기 위해 정책을 정기적으로 업데이트해야 하지만, 머신 러닝의 발전으로 일부 WAF는 자동으로 업데이트됩니다. 이러한 자동화는 위협 환경의 복잡성과 모호성이 계속 증가함에 따라 더욱 중요해지고 있습니다.

 

WAF(Web Application Firewall), IPS(intrusion prevention system) 및 NGFW(Next-Generation Firewall)의 차이점

 

IPS는 침입 방지 시스템, WAF는 웹 애플리케이션 방화벽, NGFW는 차세대 방화벽입니다. 이들의 차이점은 무엇입니까?

IPS는 더 광범위하게 초점을 맞춘 보안 제품입니다. 일반적으로 Signature 및 정책 기반으로, Signature 데이터베이스 및 설정된 정책을 기반으로 잘 알려진 취약점과 공격 벡터를 확인할 수 있습니다. IPS는 데이터베이스 및 정책을 기반으로 표준을 설정한 다음 트래픽이 이 표준에서 벗어날 때 경보를 보냅니다. 새로운 취약점이 알려지면서 Signature 및 정책은 시간이 지남에 따라 증가합니다. 일반적으로 IPS는 DNS, SMTP, TELNET, RDP, SSH 및 FTP와 같은 다양한 프로토콜 유형에서 트래픽을 보호합니다. IPS는 일반적으로 Layer 3 및 4(Network 및 Session Layer)를 보호하지만 Layer 7(Application Layer)에서는 제한적인 보호만을 제공할 수 있습니다.

WAF(Web Application Firewall, 웹방화벽)는 Application Layer를 보호하고 Application Layer에서 각 HTTP/S 요청을 분석하도록 특별히 설계되었습니다. 일반적으로 사용자, 세션 및 애플리케이션을 인식하고, 그 뒤에 있는 웹 앱과 제공하는 서비스를 인식합니다. 때문에 WAF는 사용자와 앱 자체의 중개자라고 생각할 수 있으며, 앱이나 사용자에게 도달하기 전에 모든 통신을 분석합니다. 기존의 WAF는 (보안 정책을 기반으로 하는) 허용된 작업만 수행할 수 있도록 합니다. 많은 조직에서 WAF는 애플리케이션에 대한 신뢰할 수 있는 최우선 방어선으로, 가장 많이 확인되는 애플리케이션 취약점 목록인 OWASP Top 10 목록으로부터 애플리케이션을 보호합니다. 10가지 취약점은 다음과 같습니다.

OWASP Top 10에 대비하는 방법에 대한 Ebook 읽어보기

IPS vs WAF에 관한 짧은 비디오 시청하기

NGFW(Next-Generation Firewall)은 인터넷에서 웹사이트, 이메일 계정 및 SaaS로 향하는 트래픽을 모니터링합니다. 간단히 말해 (웹 애플리케이션과는 달리) 사용자를 보호합니다. NGFW는 URL 필터링, 안티 바이러스/안티 맬웨어 및 잠재적으로 IPS(intrusion prevention systems)과 같은 기능을 추가하는 것 외에도 사용자 기반 정책을 시행하고 보안 정책에 컨텍스트를 추가합니다. WAF는 일반적으로 Reverse Proxy(서버에서 사용)이지만 NGFW는 대체로 Forward Proxy(브라우저와 같은 클라이언트에서 사용)입니다.

 

WAF(Web Application Firewall, 웹방화벽)를 배포하는 여러 가지 방법

 

WAF는 애플리케이션 배포 위치, 필요한 서비스, 관리 방법, 필요한 아키텍처의 유연성 및 성능 수준에 따라 여러 가지 방법으로 배포할 수 있습니다. 직접 관리하겠습니까? 아니면 관리를 아웃소싱하겠습니까? 클라우드 기반 옵션을 갖는 것이 더 나은 모델입니까? 아니면 WAF를 On-Prem에 배치하는 것이 좋습니까? 배포 방법은 적합한 WAF를 결정하는 데 도움이 됩니다. 다음과 같은 옵션이 있습니다.

 

WAF(Web Application Firewall, 웹방화벽) 배포:
  • Cloud-based + Fully Managed As-a-Service - 가장 빠르고 간편하게 앱 앞에 WAF를 배치할 수 있는 옵션이 필요한 경우(특히 사내 보안/IT 리소스가 제한적인 경우)에 좋은 옵션입니다.
  • Cloud-based + Self Managed - 트래픽 관리 및 보안 정책 설정에 대한 제어를 유지하면서 클라우드의 모든 유연성과 보안 정책 이식성을 확보합니다.
  • Cloud-based + Auto-Provisioned - 클라우드에서 WAF를 시작하는 가장 쉬운 방법으로, 쉽고 비용 효율적인 방식으로 보안 정책을 배포합니다.
  • On-premises Advanced WAF (가상 또는 하드웨어 어플라이언스) - 유연성, 성능 및 보다 향상된 보안 문제가 중요한 가장 까다로운 배포 요구 사항을 충족합니다.

다음은 귀사에 적합한 WAF 및 배포 모드를 선택하는 데 도움이 되는 가이드입니다.

 

WAF 및 F5의 고급 WAF 기술을 사용한 앱 보호 방법에 대해 자세히 알아보기