Web Application Firewall (WAF) Best Practices
웹 애플리케이션 방화벽은 최신 사이버 보안의 핵심이지만, 때로는 뚫을 수 없는 규칙 집합이 보안 초보자를 압도하고 숙련된 팀에게는 시간이 많이 소요될 수 있습니다. 이렇게 복잡할 필요는 없습니다. 이 가이드에서는 WAF 정책의 모범 사례와 이를 성공적으로 구현하기 위한 구현 사례를 간략하게 설명합니다.
데이터베이스의 문제 & 데이터 액세스
많은 기업에서 민감한 데이터는 여러 백엔드 데이터베이스에 저장되며 웹 애플리케이션과 API를 통해 액세스됩니다. 이 데이터는 관련 팀 간에 공유되지만, 시간이 지남에 따라 팀의 아키텍처가 성장함에 따라 데이터에 액세스하는 디바이스의 수와 유형이 수동 추적을 훨씬 뛰어넘는 규모로 확장되기 시작했습니다.
애플리케이션 계층에서 발생하는 온라인 트랜잭션을 모니터링할 방법이 없다면 애플리케이션은 취약점을 악용하고 중요한 데이터에 액세스하려는 공격자의 주요 표적이 될 수밖에 없습니다.
웹 애플리케이션 방화벽(WAF) 설명
웹 애플리케이션 방화벽 (WAF)은 웹 애플리케이션, API, 인터넷 간에 오가는 HTTP/HTTPS 트래픽을 모니터링하는 보안 솔루션의 핵심입니다.
모든 데이터 패킷에서 다음과 같은 몇 가지 기본 정보를 확인합니다:
- 목적지
- 포트
- 프로토콜
어떤 패킷이 정상적인 사용자로부터 온 것인지, 어떤 패킷이 악성 코드를 삽입하거나 공격자의 접속을 허용하려는 것인지 식별할 수 있습니다. WAF는 역방향 프록시처럼 웹 애플리케이션 앞에 위치하기 때문에 악성 트래픽이 애플리케이션에 도달하기 전에 거부할 수 있습니다.
기본적으로 WAF를 구현하면 합법적인 트래픽만 웹 애플리케이션에 도달할 수 있습니다.
하지만 WAF 유형에 따라 접근 방식이 달라 실무자에게 혼란을 줄 수 있으므로 모범 사례를 정립할 필요가 있습니다.
WAF 모범 사례
핵심 원칙으로, 모든 웹 애플리케이션은 개발 과정에서 가능한 한 안전해야 합니다. 하지만 취약성은 정적인 환경이 아닙니다:
- 특히 오픈 소스 컴포넌트에 의존하는 앱의 경우, 배포 후 취약성이 경고 없이 나타날 수 있습니다.
애플리케이션 코드가 안전하지 않은 것으로 밝혀지면 이를 오프라인으로 전환하고 핵심 소스 코드 문제를 해결하기에는 비용이 너무 많이 들거나 다운타임이 너무 길어질 수 있습니다.
잠재적인 위험에도 불구하고 웹 애플리케이션 보안을 유지하는 데 WAF가 어떻게 도움이 되는지 알아보세요.
#1: 중앙의 기존 인프라와의 통합
보안을 보장하려면 WAF가 기존 인프라에 원활하게 통합되어야 합니다. WAF는 유연해야 하며, 전면적인 변경 없이도 애플리케이션과 사용자를 쉽게 보호할 수 있어야 합니다.
그렇다고 해서 WAF를 신중한 감독 없이 설치해서는 안 됩니다.
허브-앤-스포크 모델
예를 들어, 기업에서 허브 앤 스포크 모델을 사용하고 있고 많은 사용자와 데이터베이스를 한 곳에서 관리하고 있다면 WAF를 설치할 수 있는 곳은 실제로 한 곳뿐입니다. 하드웨어 어플라이언스와 같이 안정적인 중앙 인프라에 설치해야 합니다.
이를 통해 성능 안정성의 토대를 마련한 다음 보안 규칙을 적용할 수 있습니다.
분산형 또는 빠르게 성장하는 인프라
반대로 온라인 이커머스 스토어와 같이 조직이 분산되어 있거나 빠르게 성장하는 인프라를 보유하고 있다면 분산형 WAF가 더 적합할 수 있습니다.
WAF 제품이 여러 애플리케이션에 배포된다고 해서 관리가 복잡할 필요는 없습니다. Check Point WAF와 같은 최신 보안 도구를 사용하면 중앙 플랫폼에서 모든 것을 관리하여 작업을 간단하게 유지할 수 있습니다.
#2번: 성능 기준 마련
WAF의 성능을 추적하는 것은 장기적인 관리에 매우 중요하며, 이는 WAF의 수명 초기에 설정하는 것이 가장 좋습니다.
기술적 처리량과 관련해서는 WAF의 실제 처리량만큼이나 기본적일 수 있습니다:
- 애플리케이션의 동시 사용자 수
- 평균 및 최대 부하 시간대의 시간 단위당 HTTP 요청량
이를 지원하려면 WAF 내에서 로깅을 활성화하고 중앙 로그 관리 시스템에 연결하세요(통합 모범 사례를 읽어보세요). 이러한 메트릭을 통해 규칙 성능을 실시간으로 파악할 수 있으므로 WAF의 성공을 위한 준비가 완료된 것입니다.
#3: WAF별 역할 소개
애플리케이션을 보호하는 WAF의 기능은 거의 전적으로 올바른 구현과 규칙의 지속적인 유지 관리에서 비롯되므로 누구의 책임인지 명확히 하는 것이 중요합니다. 새로운 WAF의 일회성 커미셔닝을 담당하는 계약업체를 데려오는 경우, 계약업체의 WAF 기능에 대한 이해도가 자체 인프라 요구 사항과 일치해야 합니다.
WAF 규칙 집합의 장기적인 유지 관리를 위해 누가 얼마나 자주 검토할 것인지 명확히 하세요. 이를 위해서는 WAF와 기업의 더 광범위한 메커니즘 간의 연결 고리를 구축하는 것이 중요합니다.
보안 측면에서는 더 넓은 SOC에는
- 알림 관리를 위한 워크플로 설정
- 알림 관리 기간에 적합한 KPI
애플리케이션 개발 측면에서는 특정 애플리케이션의 프로토콜 및 요구 사항과 함께 규칙을 개발해야 하므로 WAF 팀과 DevOps 간의 협업이 필수적입니다.
애플리케이션 문서에 서비스 소유자가 포함되어 있으면 이 프로세스가 훨씬 빨라집니다.
#4: WAF의 룰셋 조정하기
보안 WAF 도구는 빠르게 시작하고 실행할 수 있는 사전 구성된 목록과 함께 제공됩니다. 블랙리스트는 악성 트래픽만 식별하고 차단하는 방식으로, 원하는 유형의 규칙 집합을 자유롭게 선택할 수 있습니다. 화이트리스트는 보안이 확인된 트래픽을 제외한 모든 트래픽을 차단합니다.
화이트리스팅은 보다 안전한 접근 방식이지만, WAF의 정확한 배포에 반드시 적합한 것은 아닙니다.
오탐을 방지하고 규칙 복잡성을 줄이려면 특정 애플리케이션 배포에 맞게 WAF의 규칙 집합을 조정하는 것이 필수적입니다. 이를 위해 다음과 같이 할 수 있습니다:
- WAF 도구로 이동
- 대시보드를 통해 예외를 정의하세요.
하지만 업데이트 설치와 관련하여 WAF 제공업체가 이러한 규칙을 어떻게 처리하는지 참고하세요.
일반적으로 PowerShell 또는 CLI를 통해 WAF 규칙 제외를 코드로 정의한 경우, 규칙 집합을 업데이트한 후에도 규칙 튜닝을 유지할 수 있습니다.
#5: 다른 보안 도구와 통합
침입 방지 시스템(IPS)은 방화벽을 우회할 수 있는 악성 활동을 식별하고 완화하기 위해 네트워크 내에 추가로 배치되는 보안 솔루션입니다.
침입 방지 시스템(IPS)
비슷한 방식으로 의심스러운 트래픽을 보고, 차단 또는 삭제하도록 구성할 수 있지만, 이 두 솔루션을 통합하면 WAF 거부-허용 접근 방식에 IPS가 제공하는 상황별 애플리케이션 이해 기능을 더할 수 있습니다.
보호 기능을 강화하기 위해 분산 서비스 거부 (DDoS) 공격을 방어하도록 설계된 클라우드 기반 솔루션을 통합할 수도 있습니다. 통합 WAF가 DDoS 시도를 감지하면 대규모 리소스 호깅 공격을 처리할 수 있는 적절한 장비를 갖춘 DDoS 방어 플랫폼으로 트래픽을 라우팅하여 네트워크를 안전하게 보호할 수 있습니다.
그리고 아직 더 많은 업그레이드가 가능합니다...
콘텐츠 전송 네트워크
WAF는 네트워크 엣지에 위치하기 때문에 클라우드 호스팅 WAF에는 웹사이트 데이터를 캐시하고 로드 시간을 개선하는 콘텐츠 전송 네트워크(CDN) 기능도 포함될 수 있습니다. CDN은 전 세계에 분산된 여러 PoP(Points of Presence)를 사용하므로 가장 가까운 위치에서 사용자에게 서비스를 제공함으로써 더 나은 성능을 보장합니다.
보안 정보 및 이벤트 관리
마지막으로 보안 정보 및 이벤트 관리(SIEM) 시스템과 통합하면 보안 이벤트를 중앙에서 모니터링하고 분석할 수 있습니다. WAF는 규칙이 트리거될 때마다 보안 정보 및 이벤트 관리(SIEM) 플랫폼으로 로그 및 경고를 전송하여 다른 보안 도구의 데이터와 함께 집계할 수 있습니다:
- 방화벽
- 침입 방지 시스템(IPS )(IPS)
- 바이러스 백신 소프트웨어
이를 통해 보안팀은 패턴을 감지하고, 이벤트를 상호 연관시키고, 위험도별로 인시던트의 순위를 매길 수 있습니다.
이러한 통합을 통해 요청별 규칙 집합을 실시간 위협 탐지, 컴플라이언스 및 감사 목적의 상세 보고서 생성 기능을 통해 전반적인 보안 상태에 대한 포괄적인 가시성으로 확장할 수 있습니다.
Check Point WAF로 애플리케이션 보안 수준 향상
Checkpoint의 Check Point WAF는 통합 웹 및 API 보안 솔루션으로, 탁월한 정밀도와 응집력으로 애플리케이션을 보호하도록 설계되었습니다. 시그니처 기반 WAF 도구와 달리 Check Point WAF 는 머신 러닝과 맥락적 AI 을 활용하여 최소한의 조정으로 웹 애플리케이션과 API 모두에 대해 알려진 위협과 알려지지 않은 위협에 대해 높은 수준의 위협 차단 기능을 제공합니다.
최근 몇 년간 가장 큰 제로데이 위협(Log4J 취약점 및 MOVEit 등)을 모두 성공적으로 차단했으며 오탐이 거의 발생하지 않아 보안팀의 소중한 시간과 리소스를 절약할 수 있습니다.
이것이 바로 2024 기가옴 레이더 보고서에서 업계 리더로 선정된 이유입니다.
혁신적인 API 검색 기능을 통해 퍼블릭과 내부 API, 기존 엔드포인트와 새로운 엔드포인트 등 클라우드 자산을 손쉽게 식별하여 최적의 보호를 위해 보안 프로그램을 사용자 지정할 수 있습니다.
AI-기반의 위협 탐지 및 DDoS 방어부터 파일 보안, 속도 제한, 봇 방지까지, 체크포인트의 서비스형 WAF는 최신 클라우드 환경을 위한 포괄적인 보호 기능을 제공합니다.
지금 바로 데모를 예약하고 완벽한 보안 애플리케이션을 위한 기반을 마련하세요.
