제로 트러스트 모델은 위반을 가정하고 제어되지 않는 네트워크에서 발생하는 것처럼 각 요청을 확인합니다. Azure 네트워크 보안 서비스는 클라우드 환경에서 트래픽을 검사, 필터링 및 로깅하여 제로 트러스트 원칙을 적용하는 데 중요한 역할을 합니다.
다음 권장 사항은 Azure 네트워크 보안 상태를 평가하고 강화하는 데 도움이 됩니다. 각 권장 사항은 보안 검사, 위험 수준 및 수정 단계를 설명하는 자세한 가이드로 연결됩니다.
팁 (조언)
일부 조직에서는 이러한 권장 사항을 작성된 대로 정확하게 사용할 수 있으며, 다른 조직에서는 자체 비즈니스 요구 사항에 따라 수정하도록 선택할 수 있습니다. 해당하는 경우 다음 컨트롤을 모두 구현하는 것이 좋습니다. 이러한 패턴 및 사례는 안전한 Azure 네트워크 환경의 토대를 제공하는 데 도움이 됩니다. 시간이 지남에 따라 이 문서에 더 많은 컨트롤이 추가됩니다.
자동화된 평가
환경의 구성에 대해 이 지침을 수동으로 확인하는 것은 시간이 많이 걸리고 오류가 발생하기 쉽습니다. 제로 트러스트 평가는 자동화를 사용하여 이 프로세스를 변환하여 이러한 보안 구성 항목 등을 테스트합니다. 제로 트러스트 평가란?에서 자세히 알아보세요.
Azure DDoS Protection(애저 디도스 보호)
Azure DDoS Protection은 분산 서비스 거부 공격으로부터 공용 리소스를 보호합니다. 다음 권장 사항은 DDoS 보호가 활성화되고 제대로 모니터링되는지 확인합니다.
자세한 내용은 Azure DDoS Protection에 대한 제로 트러스트 권장 사항을 참조하세요.
| 권장 사항 | 위험 수준 | 사용자 영향 | 구현 비용 |
|---|---|---|---|
| DDoS(분산 서비스 거부) 공격은 애플리케이션 컴퓨팅, 네트워크 또는 메모리 리소스를 압도하여 합법적인 사용자에게 액세스할 수 없는 서비스를 렌더링하는 것을 목표로 합니다. 인터넷에 노출되는 모든 공용 엔드포인트는 잠재적인 대상입니다. Azure DDoS Protection은 공용 IP 주소를 대상으로 하는 네트워크 계층 공격에 대한 상시 모니터링 및 자동 완화를 제공합니다. 개별 공용 IP에서 직접 DDoS IP 보호를 통해 또는 DDoS 보호 계획을 통해 가상 네트워크 수준에서 DDoS 네트워크 보호를 통해 보호를 사용하도록 설정할 수 있습니다. DDoS Protection이 없으면 Application Gateway, Load Balancer, Azure Firewalls, Azure Bastion, Virtual Network Gateway 및 가상 머신과 같은 서비스에 대한 공용 IP가 대역폭 및 시스템 리소스를 소진할 수 있는 공격에 계속 노출되어 종속 서비스에서 연속적인 중단이 발생합니다. 이 검사는 모든 공용 IP 주소가 두 방법 중 하나를 통해 DDoS 보호에서 적용되는지 확인합니다. 수정 작업 | 높음 | Low | Low |
| Azure DDoS Protection은 공용 IP 주소에 대한 고급 완화 기능을 제공하여 계층 3 및 4에서 볼륨 및 프로토콜 DDoS(분산 서비스 거부) 공격을 자동으로 감지하고 완화합니다. 애플리케이션 계층(계층 7) DDoS 보호의 경우 WAF(웹 애플리케이션 방화벽)와 함께 Azure DDoS Protection을 사용합니다. 메트릭을 사용하지 않는 DDoS 보호는 보안 팀이 공격 트래픽 패턴, 완화 작업 또는 보호 정책의 효율성을 관찰할 수 없는 가시성 격차를 만듭니다. 모니터링되지 않는 공용 IP에 대해 DDoS 공격이 발생하면 인바운드 패킷 수, 완화 중에 삭제된 바이트, 식별된 공격 벡터 및 완화 트리거 이벤트를 포함한 중요한 원격 분석이 인시던트 응답자에 부족합니다. 이렇게 하면 서비스 성능 저하가 발생할 때까지 공격이 눈에 띄지 않을 수 있으므로 검색이 지연됩니다. 또한 애플리케이션 성능 문제와 DDoS 이벤트의 상관 관계를 방지하고 사전 방어 개선을 위해 공격 패턴을 분석하는 기능을 제거합니다. DDoS 메트릭을 사용하도록 설정하면 공격 상태, 처리 및 삭제된 패킷 및 바이트, 활성 인시던트 대응 및 인시던트 후 분석에 필수적인 TCP/UDP/SYN 홍수 메트릭에 대한 실시간 가시성을 제공합니다. 수정 작업 | 중간 | Low | Low |
| 공용 IP 주소에 대해 Azure DDoS Protection을 사용하도록 설정하면 진단 로깅은 DDoS(분산 서비스 거부) 공격 패턴, 완화 작업 및 트래픽 흐름 데이터에 대한 중요한 가시성을 제공합니다. 진단 로그가 없으면 보안 팀은 공격 특성을 이해하고, 완화 효율성의 유효성을 검사하고, 인시던트 후 분석을 수행하는 데 필요한 가시성이 부족합니다. Azure DDoS Protection은 세 가지 범주의 진단 로그를 생성합니다. 공격 검색 및 완화 이벤트를 위한 DDoSProtectionNotifications, 활성 완화 중 자세한 흐름 수준 정보를 위한 DDoSMitigationFlowLogs, 포괄적인 공격 요약을 위한 DDoSMitigationReports. 이러한 로그는 진행 중인 공격을 감지하고, 인시던트 조사, 규정 준수 요구 사항을 충족하고, 보호 정책을 조정하는 데 필수적입니다. 수정 작업 | 중간 | Low | Low |
Azure Firewall
Azure Firewall은 중앙 집중식 네트워크 보안 정책 적용 및 가상 네트워크 간 로깅을 제공합니다. 다음 권장 사항은 주요 보호 기능이 활성 상태인지 확인합니다.
자세한 내용은 Azure Firewall에 대한 제로 트러스트 권장 사항을 참조하세요.
| 권장 사항 | 위험 수준 | 사용자 영향 | 구현 비용 |
|---|---|---|---|
| Azure Firewall은 아웃바운드 트래픽에 대한 중앙 집중식 검사, 로깅 및 적용을 제공하는 클라우드 네이티브 네트워크 보안 서비스입니다. 그러나 아웃바운드 연결에 Azure Firewall만 사용하면 트래픽이 많은 워크로드에서 SNAT 포트가 소모됩니다. Azure Firewall과 함께 NAT 게이트웨이를 배포하는 것이 좋습니다. Azure Firewall은 아웃바운드 보안 검사(위협 인텔리전스 필터링, 침입 감지 및 방지, TLS 검사 및 송신 정책 적용)를 처리하는 반면 NAT 게이트웨이는 실제 아웃바운드 트래픽 흐름에 대해 확장 가능한 SNAT 포트를 제공합니다. 보안 네트워크 아키텍처에서 VM, AKS 클러스터, App Service 및 Functions와 같은 VNet 통합 워크로드의 아웃바운드 트래픽은 외부 서비스에 도달하기 전에 Azure Firewall을 통해 명시적으로 라우팅되어야 하며, NAT 게이트웨이는 AzureFirewallSubnet에 구성되어 아웃바운드 변환을 처리합니다. 이러한 결합된 접근 방식이 없으면 조직은 검색되지 않은 아웃바운드 트래픽 또는 SNAT 포트 고갈로 인해 연결이 끊어지게 될 위험이 있습니다. 이 검사는 유효한 네트워크 경로가 모든 구독에서 적격 워크로드에 대한 방화벽의 개인 IP 주소로 아웃바운드 트래픽을 전달한다는 것을 확인합니다. 수정 작업 | 높음 | Low | 중간 |
| Azure Firewall의 위협 인텔리전스 기반 필터링은 Microsoft Threat Intelligence 피드에서 제공된 알려진 악성 IP 주소, 정규화된 도메인 이름(FQDN) 및 URL을 통해 오고 가는 트래픽을 경고하고 차단합니다. 사용하도록 설정하면 Azure Firewall은 NAT(네트워크 주소 변환), 네트워크 또는 애플리케이션 규칙을 적용하기 전에 위협 인텔리전스 규칙에 대한 트래픽을 평가합니다. 이 검사는 위협 인텔리전스가 Azure Firewall 정책의 "경고 및 거부" 모드에서 사용하도록 설정되어 있는지 확인합니다. 이 기능을 사용하도록 설정하지 않으면 환경이 알려진 악성 IP, 도메인 및 URL에 계속 노출되어 손상 또는 데이터 반출의 위험이 발생합니다. 수정 작업 | 높음 | Low | Low |
| Azure Firewall Premium은 네트워크 트래픽의 바이트 시퀀스 또는 맬웨어에서 사용되는 알려진 악성 명령 시퀀스와 같은 특정 패턴을 식별하여 공격을 감지하는 서명 기반 IDPS(침입 감지 및 방지 시스템)를 제공합니다. IDPS 서명은 계층 3-7의 애플리케이션 및 네트워크 수준 트래픽 모두에 적용되며, 완전히 관리되고 지속적으로 업데이트되며, 온-프레미스 네트워크 간 트래픽을 포함하여 인바운드, 스포크-스포크 및 아웃바운드 트래픽에 적용할 수 있습니다. 이 검사는 IDPS가 Azure Firewall 정책의 "경고 및 거부" 모드에서 사용하도록 설정되어 있는지 확인합니다. IDPS를 사용하지 않도록 설정하거나 "경고" 전용 모드에서 네트워크 트래픽의 악의적인 패턴이 적극적으로 차단되지 않습니다. 수정 작업 | 높음 | Low | Low |
| Azure Firewall Premium은 Azure Key Vault에 저장된 고객 제공 CA(인증 기관) 인증서를 사용하여 아웃바운드 및 동서 암호화 트래픽의 암호를 해독, 검사 및 다시 암호화하는 TLS(전송 계층 보안) 검사를 제공합니다. TLS 검사를 사용하면 IDPS(침입 탐지 및 방지 시스템) 및 URL 필터링을 비롯한 고급 보안 기능을 통해 암호화된 트래픽을 분석하고 암호화된 채널을 사용하여 탐지를 회피하는 위협을 식별할 수 있습니다. TLS 검사를 사용하도록 설정하지 않으면 방화벽이 암호화된 페이로드를 검사할 수 없으므로 TLS를 활용하여 기존 보안 제어를 우회하는 위협에 대한 가시성이 크게 제한됩니다. 수정 작업 | 높음 | Low | Low |
| Azure Firewall은 보호된 워크로드에 대한 모든 인바운드 및 아웃바운드 네트워크 트래픽을 처리하므로 보안 모니터링을 위한 중요한 제어 지점이 됩니다. 진단 로깅을 사용하도록 설정하지 않으면 보안 팀은 트래픽 패턴, 거부된 연결 시도, 위협 인텔리전스 일치 및 IDPS(침입 감지 및 방지 시스템) 서명 검색에 대한 가시성을 잃게 됩니다. 로깅이 없으면 액세스 권한을 얻는 위협 행위자는 검색 없이 횡적으로 이동할 수 있으며 인시던트 응답자는 공격 타임라인을 생성할 수 없습니다. Azure Firewall은 애플리케이션 규칙 로그, 네트워크 규칙 로그, NAT(네트워크 주소 변환) 규칙 로그, 위협 인텔리전스 로그, IDPS 서명 로그 및 보안 모니터링 및 포렌식 분석을 위해 Log Analytics, 스토리지 계정 또는 이벤트 허브와 같은 대상으로 라우팅해야 하는 DNS 프록시 로그를 비롯한 여러 로그 범주를 제공합니다. 수정 작업 | 높음 | Low | Low |
Application Gateway WAF
Application Gateway의 Azure 웹 애플리케이션 방화벽은 일반적인 악용 및 취약성으로부터 웹 애플리케이션을 보호합니다. 다음 권장 사항은 WAF가 제대로 구성되고 모니터링되는지 확인합니다.
자세한 내용은 Application Gateway WAF에 대한 제로 트러스트 권장 사항을 참조하세요.
| 권장 사항 | 위험 수준 | 사용자 영향 | 구현 비용 |
|---|---|---|---|
| Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 사이트 간 스크립팅 및 기타 OWASP(Open Worldwide Application Security Project) 상위 10가지 위협과 같은 일반적인 악용 및 취약성으로부터 웹 애플리케이션을 보호합니다. WAF는 두 가지 모드로 작동합니다. 검색 모드는 들어오는 요청 및 로그 일치를 평가하지만 트래픽을 차단하지는 않지만 방지 모드는 요청을 평가하고 WAF 규칙을 위반하는 악의적인 요청을 적극적으로 차단합니다. 예방 모드에서 WAF를 실행하는 것은 일반적인 웹 공격으로부터 애플리케이션을 적극적으로 보호하는 데 중요합니다. WAF가 검색 모드인 경우 악의적인 트래픽만 기록되고 방지되지 않으므로 애플리케이션이 악용에 노출됩니다. 수정 작업 | 높음 | Low | Low |
| Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 지역 수준에서 일반적인 악용 및 취약성에 대해 웹 애플리케이션에 대한 중앙 집중식 보호를 제공합니다. 요청 본문 검사를 사용하면 WAF가 SQL 삽입, 사이트 간 스크립팅 및 명령 삽입 페이로드를 비롯한 악의적인 패턴에 대한 HTTP POST, PUT 및 PATCH 요청 본문을 분석할 수 있습니다. 요청 본문 검사를 사용하지 않도록 설정하면 위협 행위자가 모든 WAF 규칙 평가를 우회하는 양식 제출, API 호출 또는 파일 업로드 내에 악성 콘텐츠를 포함할 수 있습니다. 이렇게 하면 공격자가 보호되지 않는 엔드포인트를 통해 초기 액세스 권한을 얻고, 백 엔드 데이터베이스에 대해 임의의 명령을 실행하고, 중요한 데이터를 반출하고, 내부 시스템으로 피벗하는 악용에 대한 직접적인 경로가 만들어집니다. OWASP(Open Worldwide Application Security Project) 핵심 규칙 집합 및 Microsoft Bot Manager 규칙을 비롯한 WAF의 관리되는 규칙 집합은 볼 수 없는 위협을 평가할 수 없으므로 이러한 보호는 일반적인 신체 기반 공격 벡터에 대해 비효율적입니다. 수정 작업 | 높음 | Low | Low |
| Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 알려진 공격 패턴에 대한 미리 구성된 검색 서명을 포함하는 관리되는 규칙 집합을 통해 웹 애플리케이션에 대한 중앙 집중식 보호를 제공합니다. Microsoft 기본 규칙 집합 및 OWASP(Open Worldwide Application Security Project) 핵심 규칙 집합은 보안 전문 지식을 구성하지 않고도 가장 일반적이고 위험한 웹 취약성으로부터 보호하는 관리형 규칙 집합을 지속적으로 업데이트합니다. 관리되는 규칙 집합이 활성화되지 않은 경우 WAF 정책은 알려진 공격 패턴에 대한 보호를 제공하지 않으며 배포에도 불구하고 통과로 효과적으로 작동합니다. 위협 행위자가 정기적으로 보호되지 않는 웹 애플리케이션을 검색하고 자동화된 도구 키트를 사용하여 잘 문서화된 취약성을 악용합니다. 관리되는 규칙이 없으면 공격자는 백 엔드 서버에 대한 SQL 삽입, 사이트 간 스크립팅 및 명령 주입을 비롯한 일반적인 취약성을 악용할 수 있습니다. 수정 작업 | 높음 | Low | Low |
| Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 동작 패턴, 알려진 봇 서명 및 IP 평판에 따라 자동화된 트래픽을 식별하고 분류하는 Microsoft Bot Manager 규칙 집합을 통해 봇 보호를 제공합니다. 봇 보호를 사용하도록 설정하지 않으면 위협 행위자가 자격 증명 스터핑 공격, 콘텐츠 스크래핑, 인벤토리 비장 및 애플리케이션 계층 서비스 거부 공격에 자동화된 도구를 활용할 수 있습니다. 이러한 공격은 간단한 속도 제한을 피하기 위해 IP 주소를 회전하는 분산 봇넷에서 발생하는 경우가 많으므로 서명 기반 봇 검색이 필수적입니다. Bot Manager 규칙 집합은 봇을 알려진 좋은 봇, 알려진 잘못된 봇 및 알 수 없는 봇으로 분류하여 세분화된 정책 적용을 허용합니다. 이 분류가 없으면 악의적인 봇 트래픽이 합법적인 요청과 혼합되어 애플리케이션 리소스를 사용하고 사기 행위를 활성화합니다. 수정 작업 | 높음 | Low | Low |
| Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 애플리케이션 계층에서 대량 HTTP 기반 공격을 감지하고 완화하는 Microsoft HTTP DDoS 규칙 집합을 통해 HTTP DDoS(분산 서비스 거부) 보호를 제공합니다. 대역폭을 대상으로 하는 네트워크 계층 DDoS 공격과 달리 HTTP 기반 DDoS 공격은 서버 리소스, 데이터베이스 연결 및 애플리케이션 스레드를 소진하기 위해 대량으로 합법적인 HTTP 요청을 전송하여 애플리케이션 계층을 악용합니다. HTTP DDoS 보호가 활성화되지 않으면 위협 행위자가 백엔드 서버를 압도하는 HTTP 홍수 공격, 연결을 열어두어 연결 풀을 소진시키는 slowloris 공격, 그리고 리소스 소모가 큰 작업을 유발하도록 설계된 높은 빈도의 요청 패턴을 실행할 수 있습니다. HTTP DDoS 규칙 집합에는 구성 가능한 민감도 수준에 따라 비정상적인 요청 속도를 검색하고 백 엔드 애플리케이션 서버에 영향을 주기 전에 악성 트래픽을 차단, 로그 또는 리디렉션할 수 있는 규칙 그룹이 포함되어 있습니다. 수정 작업 | 높음 | Low | Low |
Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 지정된 기간 내에 클라이언트가 수행할 수 있는 요청 수를 제한하는 사용자 지정 규칙을 통해 속도 제한을 지원합니다. 속도 제한은 무차별 암호 대입 공격, 자격 증명 스터핑, API 남용 및 과도한 요청으로 엔드포인트를 범람하는 애플리케이션 계층 서비스 거부 공격으로부터 애플리케이션을 보호합니다. 속도 제한을 구성하지 않으면 위협 행위자가 인증 엔드포인트에 대해 분당 수천 개의 암호 조합을 시도하고, 도난당한 자격 증명을 대규모로 테스트하고, 대량의 데이터를 추출하고, 서버 용량을 초과할 수 있습니다. 속도 제한 규칙을 사용하면 관리자가 분당 요청 수에 따라 임계값을 정의하고 IP 주소별로 개별 클라이언트를 추적할 수 있습니다. 클라이언트가 구성된 임계값을 초과하면 WAF는 후속 요청을 차단하거나 위반을 기록하거나 사용자 지정 페이지로 리디렉션할 수 있습니다. 수정 작업
|
높음 | Low | 중간 |
| Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 자동화된 봇 및 헤드리스 브라우저에 대한 방어 메커니즘으로 JavaScript 챌린지(현재 미리 보기 상태)를 지원합니다. 요청이 챌린지를 트리거하는 경우 WAF는 클라이언트 브라우저가 유효한 챌린지 쿠키를 얻기 위해 실행해야 하는 JavaScript 코드 조각을 제공하며, 요청이 간단한 HTTP 클라이언트 또는 봇이 아닌 실제 브라우저에서 발생했음을 증명합니다. 챌린지를 성공적으로 실행한 클라이언트는 쿠키가 만료될 때까지 정상적으로 진행되지만 JavaScript를 실행할 수 없는 봇 및 자동화된 도구는 차단됩니다. 이 메커니즘은 JavaScript 엔진 없이 간단한 HTTP 라이브러리를 사용하는 자격 증명 스터핑 봇, 웹 스크레이퍼 및 애플리케이션 계층 DDoS(분산 서비스 거부) 봇에 대해 효과적입니다. JavaScript 챌린지는 모든 트래픽을 허용하고 의심되는 봇을 완전히 차단하고 CAPTCHA와 같은 사용자 상호 작용을 요구하지 않고 브라우저 기능을 확인하는 중간 지점을 제공합니다. 수정 작업 | 중간 | Low | Low |
| Azure Application Gateway WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 사이트 간 스크립팅 및 OWASP(Open Worldwide Application Security Project) 상위 10가지 위협을 비롯한 일반적인 악용으로부터 웹 애플리케이션을 보호합니다. 진단 로깅을 사용하도록 설정하지 않으면 보안 팀은 차단된 공격, 규칙 일치, 액세스 패턴 및 방화벽 이벤트에 대한 가시성을 잃게 됩니다. 로깅이 없으면 악용이 감지되지 않으며 인시던트 응답자는 WAF 이벤트를 다른 원격 분석과 상호 연결하거나 공격 타임라인을 생성할 수 없습니다. Application Gateway WAF는 보안 모니터링을 위해 Log Analytics, 스토리지 계정 또는 이벤트 허브로 라우팅해야 하는 액세스 로그, 성능 로그 및 방화벽 로그를 비롯한 여러 로그 범주를 제공합니다. 수정 작업 | 높음 | Low | Low |
Azure Front Door WAF
Front Door의 Azure 웹 애플리케이션 방화벽은 네트워크 에지에서 웹 애플리케이션을 보호합니다. 다음 권장 사항은 WAF가 제대로 구성되고 모니터링되는지 확인합니다.
자세한 내용은 Azure Front Door WAF에 대한 제로 트러스트 권장 사항을 참조하세요.
| 권장 사항 | 위험 수준 | 사용자 영향 | 구현 비용 |
|---|---|---|---|
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 네트워크 에지에서 SQL 삽입, 사이트 간 스크립팅 및 기타 OWASP(Open Worldwide Application Security Project) 상위 10개 위협과 같은 일반적인 악용 및 취약성으로부터 웹 애플리케이션을 보호합니다. WAF는 두 가지 모드로 작동합니다. 검색 모드는 들어오는 요청 및 로그 일치를 평가하지만 트래픽을 차단하지는 않지만 방지 모드는 요청을 평가하고 WAF 규칙을 위반하는 악의적인 요청을 적극적으로 차단합니다. 예방 모드에서 WAF를 실행하는 것은 일반적인 웹 공격으로부터 애플리케이션을 적극적으로 보호하는 데 중요합니다. WAF가 검색 모드인 경우 악의적인 트래픽만 기록되고 방지되지 않으므로 애플리케이션이 악용에 노출됩니다. 수정 작업 | 높음 | Low | Low |
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 일반적인 악용 및 취약성에 대한 웹 애플리케이션에 대한 중앙 집중식 보호를 제공합니다. 요청 본문 검사를 사용하면 WAF가 SQL 삽입, 사이트 간 스크립팅 및 명령 삽입 페이로드를 비롯한 악의적인 패턴에 대한 HTTP POST, PUT 및 PATCH 요청 본문을 분석할 수 있습니다. 요청 본문 검사를 사용하지 않도록 설정하면 위협 행위자가 모든 WAF 규칙 평가를 우회하는 양식 제출, API 호출 또는 파일 업로드 내에 악성 콘텐츠를 포함할 수 있습니다. 이렇게 하면 공격자가 보호되지 않는 엔드포인트를 통해 초기 액세스 권한을 얻고, 백 엔드 데이터베이스에 대해 임의의 명령을 실행하고, 중요한 데이터를 반출하고, 내부 시스템으로 피벗하는 악용에 대한 직접적인 경로가 만들어집니다. OWASP(Open Worldwide Application Security Project) 핵심 규칙 집합 및 Microsoft의 위협 인텔리전스 기반 규칙을 비롯한 WAF의 관리형 규칙 집합은 볼 수 없는 위협을 평가할 수 없으므로 이러한 보호는 일반적인 신체 기반 공격 벡터에 대해 비효율적입니다. 수정 작업 | 높음 | Low | Low |
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 알려진 공격 패턴에 대한 미리 구성된 검색 서명이 포함된 관리되는 규칙 집합을 통해 전역적으로 분산된 웹 애플리케이션에 대한 에지 기반 보호를 제공합니다. Microsoft 기본 규칙 집합은 보안 전문 지식을 구성하지 않고도 가장 일반적이고 위험한 웹 취약성으로부터 보호하는 지속적으로 업데이트되는 관리 규칙 집합입니다. 관리되는 규칙 집합이 활성화되지 않은 경우 WAF 정책은 알려진 공격 패턴에 대한 보호를 제공하지 않으며 통과로 효과적으로 작동합니다. 위협 행위자가 자동화된 도구 키트를 사용하여 보호되지 않는 애플리케이션을 정기적으로 검색하고 문서화된 취약성을 악용하여 SQL 삽입, 사이트 간 스크립팅, 로컬 파일 포함 및 명령 삽입 공격을 실행합니다. 관리되는 규칙 집합은 악의적인 트래픽이 원본 서버에 도달하기 전에 에지에서 이러한 공격을 감지하고 차단합니다. 수정 작업 | 높음 | Low | Low |
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 글로벌 에지 네트워크에서 자동화된 트래픽을 식별하고 분류하는 프리미엄 SKU에서만 사용할 수 있는 Bot Manager 규칙 집합을 통해 봇 보호를 제공합니다. 봇 보호가 없으면 위협 행위자가 자격 증명 스터핑, 웹 스크래핑, 인벤토리 비장 및 애플리케이션 계층 DDoS(분산 서비스 거부) 공격을 비롯한 자동화된 공격을 배포할 수 있습니다. Bot Manager 규칙 집합은 봇을 알려진 좋은 봇, 알려진 잘못된 봇 및 알 수 없는 봇으로 분류하여 보안 팀이 각 범주에 대해 적절한 작업을 구성할 수 있도록 합니다. 잘못된 봇은 CAPTCHA로 차단되거나 도전할 수 있지만 검색 엔진 크롤러와 같은 합법적인 봇은 이를 통해 허용됩니다. 봇 보호가 없으면 조직은 봇 트래픽 패턴에 대한 가시성이 부족하며 사용자와 자동화된 클라이언트를 구분할 수 없습니다. 수정 작업 | 높음 | Low | Low |
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 클라이언트가 전역 에지 네트워크에서 지정된 기간 내에 수행할 수 있는 요청 수를 제한하는 사용자 지정 규칙을 통해 속도 제한을 지원합니다. 속도 제한 없이 위협 행위자가 인증 엔드포인트에 대한 무차별 암호 대입 공격, 대규모 자격 증명 스터핑, 데이터를 추출하거나 백 엔드 리소스를 사용하는 API 남용 및 엔드포인트를 범람하는 애플리케이션 계층 서비스 거부 공격을 실행할 수 있습니다. 속도 제한 규칙을 사용하면 관리자가 클라이언트 IP 주소별로 요청을 그룹화할 수 있는 기능으로 분당 요청 수에 따라 임계값을 정의할 수 있습니다. 클라이언트가 구성된 임계값을 초과하면 WAF는 후속 요청을 차단하거나, 위반 사항을 로그에 기록하거나, CAPTCHA 질문을 발행하거나, 사용자 지정 페이지로 리디렉션할 수 있습니다. 글로벌 에지에서 속도 제한을 적용하면 원본 서버에 도달하기 전에 악의적인 트래픽이 차단됩니다. 수정 작업 | 높음 | Low | 중간 |
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 글로벌 에지 네트워크에서 자동화된 봇 및 헤드리스 브라우저에 대한 방어 메커니즘으로 JavaScript 챌린지를 지원합니다. 요청이 챌린지를 트리거하는 경우 WAF는 클라이언트 브라우저가 유효한 챌린지 쿠키를 얻기 위해 실행해야 하는 JavaScript 코드 조각을 제공하며, 요청이 간단한 HTTP 클라이언트 또는 봇이 아닌 실제 브라우저에서 발생했음을 증명합니다. 쿠키가 만료될 때까지 챌린지를 성공적으로 실행한 클라이언트는 정상적으로 진행되며, JavaScript를 실행할 수 없는 봇 및 자동화된 도구는 트래픽이 원본 서버에 도달하기 전에 에지에서 차단됩니다. 이 메커니즘은 간단한 HTTP 라이브러리를 사용하는 자격 증명 스터핑 봇, 웹 스크레이퍼 및 DDoS(분산 서비스 거부) 봇에 대해 효과적입니다. JavaScript 챌린지는 CAPTCHA와 같은 사용자 상호 작용을 요구하지 않고 브라우저 기능을 확인하여 모든 트래픽을 허용하고 의심되는 봇을 완전히 차단하는 중간 지점을 제공합니다. 수정 작업 | 중간 | Low | Low |
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 글로벌 에지 네트워크에서 정교한 봇 및 자동화된 도구에 대한 방어 메커니즘으로 CAPTCHA 챌린지를 지원합니다. CAPTCHA는 사용자에게 인간의 인지 능력이 필요한 시각적 또는 오디오 퍼즐을 제공하며, 요청이 봇이 아닌 실제 인간에서 비롯되는 것을 증명합니다. CAPTCHA를 성공적으로 완료한 사용자는 만료될 때까지 정상적인 액세스를 허용하는 챌린지 쿠키를 받고 퍼즐을 해결할 수 없는 봇은 에지에서 차단됩니다. CAPTCHA는 인간 수준의 인식이 필요하기 때문에 완전한 JavaScript 지원으로 헤드리스 브라우저를 사용하는 고급 봇에 대한 JavaScript 도전보다 더 효과적입니다. CAPTCHA 챌린지 작업을 사용하여 사용자 지정 규칙을 구성하면 조직은 로그인 페이지, 등록 양식 및 결제 페이지와 같은 매우 중요한 엔드포인트를 자동화된 남용으로부터 보호할 수 있습니다. 수정 작업 | 중간 | Low | Low |
| Azure Front Door WAF(웹 애플리케이션 방화벽)는 악의적인 트래픽이 원본 서버에 도달하기 전에 네트워크 에지에서 SQL 삽입, 사이트 간 스크립팅 및 OWASP(Open Worldwide Application Security Project) 상위 10개 위협을 비롯한 일반적인 악용으로부터 웹 애플리케이션을 보호합니다. 진단 로깅을 사용하도록 설정하지 않으면 보안 팀은 에지에서 차단된 공격, 규칙 일치, 액세스 패턴 및 WAF 이벤트에 대한 가시성을 잃게 됩니다. 로깅이 없으면 취약성을 악용하려는 위협 행위자가 검색되지 않으며 인시던트 응답자는 공격 타임라인을 생성할 수 없습니다. Azure Front Door WAF는 보안 모니터링 및 포렌식 분석을 위해 Log Analytics, 스토리지 계정 또는 이벤트 허브로 라우팅해야 하는 액세스 로그 및 WAF 로그를 제공합니다. 수정 작업 | 높음 | Low | Low |