WAF와 방화벽의 차이점은 무엇입니까?
방화벽은 네트워크에서 들어오고 나가는 트래픽을 필터링하는 펌웨어의 일반적인 용어입니다. 이 광범위한 정의에는 제공하는 보호 유형이 다른 여러 범주가 있습니다. 여기에는 스테이트풀 검사, 패킷 필터링, 프록시 서버 및 차세대 방화벽(NGFW)이 포함됩니다.
WAF는 데이터 패킷을 필터링하는 방식으로 구별되는 또 다른 유형의 방화벽입니다. WAF는 네트워크의 애플리케이션 계층을 검사하고 다른 유형의 방화벽에는 보이지 않는 많은 공격을 방지할 수 있습니다. 예를 들어 SQL 삽입 공격은 SQL 쿼리와 같은 애플리케이션 요청의 페이로드를 검사하지 않기 때문에 일반 방화벽에서 탐지되지 않습니다.
특정 IP 범위, 지역 등의 트래픽을 차단할 수 있는 기존 방화벽 과 달리 WAF를 사용하면 악성으로 보이는 특정 유형의 애플리케이션 동작을 제외하는 규칙을 정의할 수 있습니다.
웹 애플리케이션 방화벽의 유형
웹 애플리케이션 서버에는 네트워크 WAF, 호스트 기반 WAF 및 클라우드 WAF의 세 가지 주요 유형이 있습니다.
어플라이언스 WAF
일반적으로 하드웨어 기반이며, 전용 장비를 사용하여 로컬로 설치할 수 있으며, 대기 시간을 줄이기 위해 가능한 한 현장 애플리케이션에 가깝게 설치할 수 있습니다.
대부분의 하드웨어 기반 WAF를 사용하면 디바이스 간에 규칙과 설정을 복사하여 회사 네트워크에서 대규모 배포를 지원할 수 있습니다. 네트워크 WAF의 단점은 대규모 초기 투자와 지속적인 유지 관리 비용이 필요하다는 것입니다.
하드웨어 기반 WAF의 대안은 종종 NVF(네트워크 기능 가상화) 기술을 사용하여 로컬에서 또는 미리 구성된 클라우드 머신 이미지를 배포하여 퍼블릭 클라우드에서 WAF를 가상 어플라이언스로 실행하는 것입니다. 이렇게 하면 자본 지출이 줄어들지만 여전히 유지 관리 오버헤드가 발생합니다.
호스트 기반 WAF
애플리케이션 코드에 완전히 통합될 수 있습니다. 이 배포 모델의 이점에는 훨씬 낮은 비용과 향상된 사용자 지정이 포함됩니다. 그러나 호스트 기반 WAF는 배포하기가 더 복잡하기 때문에 애플리케이션 서버에 특정 라이브러리를 설치해야 하고 효과적으로 실행하려면 서버 리소스에 의존해야 합니다. 또한 WAF는 개발 수명 주기 전반에 걸쳐 관리해야 하는 웹 애플리케이션의 종속성이 됩니다.
클라우드 WAF
이는 턴키 WAF 솔루션을 제공하는 비용 효율적인 옵션으로, 사전 투자가 필요 없고 신속하게 배포할 수 있습니다. 클라우드 WAF 솔루션은 일반적으로 구독 기반이며 간단한 DNS 또는 프록시 구성만 있으면 작업을 시작할 수 있습니다. 클라우드 기반 WAF는 지속적으로 업데이트되는 위협 인텔리전스에 액세스할 수 있으며, 보안 규칙을 정의하고 공격이 발생할 때 대응하는 데 도움이 되는 관리형 서비스를 제공할 수도 있습니다.
클라우드 WAF의 과제는 모든 트래픽을 웹 애플리케이션으로 라우팅하기 위해 공급자를 신뢰해야 한다는 것입니다. WAF 공급자가 다운되면 웹 사이트도 다운되고 성능이 좋지 않으면 웹 사이트 성능이 저하됩니다. 이것이 바로 대부분의 클라우드 WAF 제공업체가 가동 시간을 보장하고 대기 시간을 최소화하기 위해 통합 WAF, CDN 및 DDoS 보호 솔루션을 제공하는 이유입니다.
웹 애플리케이션 방화벽은 어떻게 작동하나요?
웹 애플리케이션 방화벽에는 다음과 같은 몇 가지 가능한 배포 모델이 있습니다.
- 하드웨어 또는 가상 어플라이언스
- 웹 애플리케이션과 동일한 웹 서버에서 실행되는 소프트웨어
- 클라우드 기반 서비스
이러한 각 배포 모델에서 WAF는 항상 웹 애플리케이션 앞에 위치하여 애플리케이션과 인터넷 간의 모든 트래픽을 가로챕니다.
화이트리스트 vs. 블랙리스트
WAF는 정상 작동이 확인된 애플리케이션 트래픽만 허용하는 화이트리스트 모델 또는 알려진 공격 패턴 또는 보안 규칙과 일치하는 트래픽을 차단하는 블랙리스트 모델에서 작동할 수 있습니다.
WAF는 HTTP/S 요청을 가로채고, 검사하고, 악성이 아닌 것으로 확인되는 경우에만 통과시킵니다. 동일한 방식으로 서버 응답을 검사하여 세션 하이재킹, 버퍼 오버플로, XSS, 명령 및 제어(C&C) 통신 또는 서비스 거부(DoS)와 같은 웹 애플리케이션 공격의 알려진 패턴이 있는지 확인합니다.
WAF 기능
WAF는 일반적으로 다음과 같은 기능을 제공합니다.
- 공격 시그니처 데이터베이스- 악성 트래픽을 식별하는 데 사용할 수 있는 패턴입니다. 여기에는 알려진 악성 IP, 요청 유형, 비정상적인 서버 응답 등이 포함될 수 있습니다. 과거에 WAF는 주로 공격 패턴 데이터베이스에 의존했지만 이 기술은 알려지지 않은 새로운 공격에 대해 대체로 효과적이지 않습니다.
- 트래픽 패턴에 대한 AI/ML 분석—최신 WAF는 인공 지능 알고리즘을 사용하여 트래픽에 대한 행동 분석을 수행합니다. 특정 유형의 트래픽에 대한 기준선을 식별하고 공격을 나타낼 수 있는 이상 징후를 캡처합니다. 이를 통해 알려진 악성 패턴과 일치하지 않는 공격도 식별할 수 있습니다.
- 애플리케이션 프로파일링- WAF는 URL, 일반적인 요청, 허용되는 데이터 유형 및 값을 포함한 웹 애플리케이션 구조를 분석합니다. 이렇게 하면 비정상적이거나 악의적인 요청을 식별하고 차단하는 데 도움이 될 수 있습니다.
- 사용자 지정 엔진- WAF를 통해 운영자는 조직 또는 웹 애플리케이션과 관련된 보안 규칙을 정의하고 애플리케이션 트래픽에 즉시 적용할 수 있습니다. 이는 WAF 동작의 사용자 지정을 허용하고 합법적인 트래픽 차단을 방지하는 데 중요합니다.
- 상관관계 엔진 -수신 트래픽을 분석하고 알려진 공격 시그니처, AI/ML 분석, 애플리케이션 프로파일링 및 사용자 지정 규칙을 사용하여 분류하여 차단 여부를 결정합니다.
- DDoS 방어- WAF는 일반적으로 클라우드 기반 DDoS(분산 거부 서비스) 보호 플랫폼과 통합됩니다. WAF에서 DDoS 공격이 감지되면 요청을 차단하고 대규모 볼류메트릭 공격을 견딜 수 있도록 확장할 수 있는 DDoS 보호 시스템으로 트래픽을 전환할 수 있습니다.
- 콘텐츠 전송 네트워크(CDN) - WAF는 네트워크 에지에 배포되기 때문에 클라우드 기반 WAF는 웹 사이트 로드 시간을 개선하기 위해 웹 사이트를 캐시하는 CDN을 제공할 수도 있습니다. WAF/CDN은 전 세계에 분산된 여러 PoP(Point of Presence)에 배포되며, 웹사이트는 가장 가까운 PoP를 통해 사용자에게 제공됩니다.
규칙 기반 웹 애플리케이션 방화벽(WAF)의 단점
WAF는 에지에 배포되며 악성으로 의심되는 트래픽을 필터링하고 차단하려고 시도합니다. 일반적으로 이 필터링은 WAF 공급업체에서 기본적으로 제공하거나 WAF를 배포하는 조직에서 사용자 지정하는 규칙을 사용하여 수행되었습니다.
규칙 기반 WAF의 문제점은 매우 높은 유지 관리가 필요하다는 것입니다. 조직은 특정 애플리케이션 패턴에 맞는 규칙을 공들여 정의해야 하며, 이는 시간이 지남에 따라 새로운 애플리케이션이 채택되고 애플리케이션이 발전함에 따라 변경될 수 있습니다. 이로 인해 변화하는 위협 벡터에 대처하기가 더 어려워지며, 새로운 공격에는 새로운 규칙이 필요할 수 있습니다.
또 다른 과제는 마이크로서비스 환경에서 WAF를 운영하는 것입니다. 대규모 마이크로서비스 응용 프로그램에서는 새 버전의 마이크로서비스가 하루에 여러 번 릴리스됩니다. WAF를 배포하고 각 구성 요소에 대한 규칙 집합을 업데이트하는 것은 실용적이지 않습니다. 즉, 대부분의 경우 마이크로서비스는 WAF에 의해 보호되지 않은 상태로 유지됩니다.
체크 포인트 Web Application and API Protection
Appsec은 항상 도전적이었지만 그 어느 때보다 빠른 개발 속도로 인해 과도한 WAF 유지 관리를 수행하거나 합법적인 사용자를 차단하지 않고 애플리케이션을 보호하는 것이 거의 불가능해졌습니다.
체크 포인트의 CloudGuard AppSec 은 AI를 사용하여 고객에게 더 낮은 오버 헤드로 더 나은 보안 범위를 제공합니다.
오탐을 막고, DevOps만큼 빠른 자동화 솔루션으로 앱과 API를 보호하며, 이를 통해 정확한 예방, 제로 정책 관리, 모든 환경에서 자동 배포 등을 제공합니다.
지금 무료 평가판 을 시작하고 앱을 보호하세요.
피드백