이 문서에서는 Azure Front Door Service의 Azure WAF(Web Application Firewall) 특성 및 기능에 대한 일반적인 질문과 대답을 제공합니다.
Azure WAF란?
Azure WAF는 SQL 삽입, 사이트 간 스크립팅 및 기타 웹 공격과 같은 일반적인 위협으로부터 웹 애플리케이션을 보호하는 데 유용한 웹 애플리케이션 방화벽입니다. 사용자 지정 및 관리형 규칙의 조합으로 구성된 WAF 정책을 정의하여 웹 애플리케이션에 대한 액세스를 제어할 수 있습니다.
Azure WAF 정책은 Application Gateway 또는 Azure Front Doors에 호스트되는 웹 애플리케이션에 적용할 수 있습니다.
Azure Front Door의 WAF란 무엇인가요?
Azure Front Door는 스케일링 성능이 뛰어난 전역 분산형 애플리케이션 및 콘텐츠 배달 네트워크입니다. Azure WAF는 Front Door와 통합된 경우 가상 네트워크에 진입하기 전에 공격 원본에 가까운 Azure 네트워크 에지에서 서비스 거부 공격과 목표 애플리케이션 공격을 중지하고, 성능을 저하하지 않으면서 보호를 제공합니다.
Azure WAF는 HTTPS를 지원하나요?
Front Door는 TLS 오프로딩을 제공합니다. WAF는 기본적으로 Front Door와 통합되며 암호 해독된 후 요청을 검사할 수 있습니다.
Azure WAF는 IPv6를 지원하나요?
예. IPv4 및 IPv6에 대한 IP 제한 사항을 구성할 수 있습니다.
관리형 규칙 집합이 얼마나 최신 상태인가요?
변화하는 위협 환경에 대비하기 위해 최선을 다하고 있습니다. 새 규칙이 업데이트되면 새 버전 번호를 사용하여 기본 규칙 집합에 추가됩니다.
WAF 정책을 변경하는 경우 전파 시간은 얼마나 되나요?
대부분의 WAF 정책 배포는 20분 이내에 완료됩니다. 전 세계의 모든 에지 위치에서 업데이트가 완료되는 즉시 정책이 적용된다고 볼 수 있습니다.
WAF 정책은 지역에 따라 다를 수 있나요?
Front Door와 통합된 WAF는 전역 리소스입니다. 모든 Front Door 위치에서 동일한 구성이 적용됩니다.
Front Door에서만 백 엔드에 액세스하도록 제한하려면 어떻게 하나요?
Azure Front Door 서비스 태그를 사용하여 Front Door 아웃바운드 IP 주소 범위만 허용하고 인터넷에서 직접 액세스를 거부하도록 백 엔드에서 IP 액세스 제어 목록을 구성할 수 있습니다. 서비스 태그는 가상 네트워크에서 사용하도록 지원됩니다. 또한 X-Forwarded-Host HTTP 헤더 필드가 웹 애플리케이션에 유효한지 확인할 수 있습니다.
어떤 Azure WAF 옵션을 선택해야 하나요?
Azure에서 WAF 정책을 적용하는 경우 두 가지 옵션이 있습니다. Azure Front Door와 통합된 WAF는 전역 분산형 에지 보안 솔루션입니다. Application Gateway와 통합된 포함된 WAF는 지역 전용 솔루션입니다. 전반적인 성능 및 보안 요구 사항에 따라 솔루션을 선택하는 것이 좋습니다. 자세한 내용은 Azure의 애플리케이션 배달 제품군을 통해 부하 분산을 참조하세요.
Front Door에서 WAF를 사용하도록 설정하는 권장되는 접근 방식은 무엇인가요?
기존 애플리케이션에서 WAF를 사용하도록 설정하는 경우 WAF 규칙이 합법적인 트래픽을 위협으로 탐지하는 가양성 탐지가 나타나는 것이 일반적입니다. 사용자에 대한 영향의 위험을 최소화하기 위해 다음 프로세스를 권장합니다.
- 탐지 모드에서 WAF를 사용하도록 설정하여 이 프로세스를 진행하는 동안 WAF가 요청을 차단하지 않도록 합니다. 이 단계는 WAF에서 테스트 목적으로 권장됩니다.
Important
이 프로세스는 애플리케이션 사용자에 대한 방해를 최소화하는 것을 가장 우선적으로 고려할 때 새 솔루션이나 기존 솔루션에서 WAF를 사용하도록 설정하는 방법을 설명합니다. 공격을 받고 있거나 위협이 임박한 경우 대신 방지 모드에서 WAF를 즉시 배포하고 튜닝 프로세스를 사용하여 시간이 지남에 따라 WAF를 모니터링하고 튜닝할 수 있습니다. 이로 인해 일부 합법적인 트래픽이 차단될 수 있으므로 이 작업은 위협을 받을 때만 수행하는 것이 좋습니다.
- WAF 튜닝 지침을 따릅니다. 이 프로세스를 수행하려면 진단 로깅을 사용하도록 설정하고, 로그를 정기적으로 검토하고, 규칙 예외와 기타 완화를 추가해야 합니다.
- 전체 프로세스를 반복하여 합법적인 트래픽 차단 방지가 만족스러운 수준이 될 때까지 로그를 정기적으로 확인합니다. 전체 프로세스에는 몇 주가 걸릴 수 있습니다. 튜닝을 변경할 때마다 가양성 탐지가 더 적게 나타나는 것이 좋습니다.
- 마지막으로 방지 모드에서 WAF를 사용하도록 설정합니다.
- 프로덕션에서 WAF를 실행한 후에도 로그를 계속 모니터링하여 다른 가양성 탐지를 식별해야 합니다. 로그를 정기적으로 검토하면 차단된 실제 공격 시도도 식별할 수 있습니다.
모든 통합 플랫폼에서 동일한 WAF 기능을 지원하나요?
현재 ModSec CRS 3.0, CRS 3.1 및 CRS 3.2 규칙은 Application Gateway의 WAF에서만 지원됩니다. 속도 제한 및 Azure 관리형 기본 규칙 집합 규칙은 Azure Front Door의 WAF에서만 지원됩니다.
DDoS 보호가 Front Door와 통합되어 있나요?
Azure 네트워크 에지에 전역적으로 배포된 Azure Front Door는 대규모 볼륨 공격을 흡수하고 지리적으로 격리할 수 있습니다. 사용자 지정 WAF 정책을 만들어 알려진 서명이 있는 HTTP(S) 공격을 자동으로 차단하고 속도를 제한할 수 있습니다. 또한 백 엔드가 배포되는 VNet에서 DDoS 네트워크 보호를 사용하도록 설정할 수 있습니다. Azure DDoS Protection 고객은 비용 보호, SLA 보장, 공격 중에 즉각적인 도움을 받을 수 있는 DDoS 빠른 응답 팀의 전문가 액세스 등의 추가 혜택을 받습니다. 자세한 내용은 Front Door의 DDoS 보호를 참조하세요.
속도 제한 규칙에 대해 구성된 임계값을 초과하는 추가 요청이 백 엔드 서버에 전달되는 이유는 무엇인가요?
요청이 다른 Front Door 서버에서 처리될 때 속도 제한에 의해 즉시 차단된 요청을 볼 수 없습니다. 자세한 내용은 속도 제한 및 Front Door 서버를 참조하세요.
WAF에서는 어떤 콘텐츠 형식을 지원합니까?
Front Door WAF는 다음 콘텐츠 형식을 지원합니다.
DRS 2.0
관리 규칙
- application/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
사용자 지정 규칙
- application/x-www-form-urlencoded
DRS 1.x
관리 규칙
- application/x-www-form-urlencoded
- text/plain
사용자 지정 규칙
- application/x-www-form-urlencoded
다른 구독에 속하는 다른 AFDX(Front Door Premium) 프로필의 프런트 엔드 호스트에 Front Door WAF 정책을 적용할 수 있나요?
아니요, 확인할 수 없습니다. AFD 프로필 및 WAF 정책은 동일한 구독에 있어야 합니다.
다음 단계
- Azure 웹 애플리케이션 방화벽에 대해 알아봅니다.
- Azure Front Door에 대해 자세히 알아봅니다.