Microsoft의 Azure Content Delivery Network에 있는 Azure Web Application Firewall

  • 아티클

Microsoft의 Azure CDN(Content Delivery Network)에 있는 Azure WAF(웹 애플리케이션 방화벽)는 웹 콘텐츠를 중앙 집중식으로 보호합니다. WAF는 일반적인 악용 및 취약성으로부터 웹 서비스를 보호합니다. 사용자의 서비스 가용성을 높게 유지하고 규정 준수 요구 사항을 충족하는 데 유용합니다.

Important

Microsoft 미리 보기의 Azure CDN에 있는 Azure WAF는 더 이상 새 고객을 허용하지 않습니다. 고객은 대신 Azure Front Door에서 Azure WAF를 사용하는 것이 좋습니다. 기존 CDN WAF 고객에게는 미리 보기 서비스 수준 계약이 제공됩니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다.  자세한 내용은 Microsoft Azure 미리 보기 추가 사용 약관을 참조하세요.

Azure CDN의 WAF는 글로벌 중앙 집중식 솔루션입니다. 전 세계 Azure 네트워크 에지 위치에 배포됩니다. WAF는 공격 소스에 가까운 악의적인 공격이 원본에 도달하기 전에 중지합니다. 성능을 저하시키지 않으면서 대규모로 글로벌 보호를 받을 수 있습니다.

WAF 정책은 구독의 CDN 엔드포인트에 쉽게 연결됩니다. 몇 분 내에 새로운 규칙을 배포할 수 있기 때문에 변화하는 위협 패턴에 신속하게 대응할 수 있습니다.

Azure web application firewall

WAF 정책 및 규칙

WAF 정책을 구성한 후 보호를 위해 CDN 엔드포인트 하나 이상에 이 정책을 연결할 수 있습니다. WAF 정책은 다음 두 가지 유형의 보안 규칙으로 구성됩니다.

  • 사용자가 만들 수 있는 사용자 지정 규칙입니다.

  • Azure에서 관리하는 미리 구성된 규칙의 컬렉션에 해당하는 관리되는 규칙 집합입니다.

두 규칙이 모두 존재하는 경우 관리형 규칙 세트의 규칙을 처리하기 전에 사용자 지정 규칙이 처리됩니다. 규칙은 일치 조건, 우선 순위 및 작업으로 구성됩니다. 지원되는 작업 유형은 허용, 차단, 로그리디렉션입니다. 관리형 규칙과 사용자 지정 규칙을 결합하여 특정 애플리케이션 보호 요구 사항을 충족하는 완전히 사용자 지정된 정책을 만들 수 있습니다.

정책 내 규칙은 우선 순위에 따라 처리됩니다. 우선 순위는 처리할 규칙의 순서를 정의하는 고유한 번호입니다. 번호가 작을수록 우선 순위가 높고 이러한 규칙은 값이 큰 규칙보다 먼저 평가됩니다. 규칙이 일치하면 규칙에 정의된 해당 작업이 요청에 적용됩니다. 이러한 일치가 처리되면 우선 순위가 낮은 규칙은 더 이상 처리되지 않습니다.

Azure CDN에서 호스트되는 웹 애플리케이션에는 한 번에 하나의 WAF 정책만 연결될 수 있습니다. 그러나 WAF 정책이 연결되지 않은 CDN 엔드포인트도 사용할 수 있습니다. WAF 정책이 있으면 전 세계적으로 일관된 보안 정책을 보장하기 위해 모든 에지 위치에 복제됩니다.

WAF 모드

WAF 정책은 다음 두 가지 모드에서 실행되도록 구성할 수 있습니다.

  • 감지 모드: 감지 모드로 실행하면 WAF는 모니터링 이외의 다른 작업을 수행하지 않고, 요청 및 일치하는 WAF 규칙을 WAF 로그에 기록합니다. CDN에 대한 로깅 진단 기능을 켤 수 있습니다. 포털을 사용하는 경우 진단 섹션으로 이동하세요.

  • 방지 모드: 방지 모드에서는 요청이 규칙과 일치하면 WAF가 지정된 작업을 수행합니다. 일치하는 항목이 발견되면 우선 순위가 낮은 규칙이 더 이상 평가되지 않습니다. 일치하는 모든 요청은 WAF 로그에도 기록됩니다.

WAF 작업

요청이 규칙의 조건과 일치하는 경우 다음 작업 중 하나를 선택할 수 있습니다.

  • 허용: 요청은 WAF를 통과해서 백 엔드에 전달됩니다. 더 낮은 우선 순위 규칙으로는 이 요청을 차단할 수 없습니다.
  • 차단: 요청이 차단되고 WAF는 요청을 백 엔드에 전달하지 않고 클라이언트에 응답을 보냅니다.
  • Log: 요청은 WAF 로그에 기록되고 WAF는 우선 순위가 낮은 규칙을 계속 평가합니다.
  • 리디렉션: WAF는 요청을 지정된 URI로 리디렉션합니다. 지정된 URI가 정책 수준 설정입니다. 이 옵션이 구성되면 리디렉션 작업과 일치하는 모든 요청이 해당 URI로 전송됩니다.

WAF 규칙

WAF 정책은 다음 두 가지 유형의 보안 규칙으로 구성될 수 있습니다.

  • 사용자 지정 규칙: 직접 만들 수 있는 규칙입니다.
  • 관리되는 규칙 집합: 사용하도록 설정할 수 있는 Azure 관리형 미리 구성된 규칙 집합입니다.

사용자 지정 규칙

사용자 지정 규칙에는 일치 규칙 및 요율 제어 규칙이 있을 수 있습니다.

다음과 같은 사용자 지정 일치 규칙을 구성할 수 있습니다.

  • IP 허용 목록 및 차단 목록: 클라이언트 IP 주소 또는 IP 주소 범위에 따라 웹 애플리케이션에 대한 액세스를 제어할 수 있습니다. IPv4 및 IPv6 주소 형식이 모두 지원됩니다. IP 목록 규칙은 WAF가 보는 SocketAddress가 아닌 X-Forwarded-For 요청 헤더에 포함된 RemoteAddress IP를 사용합니다. IP 목록은 RemoteAddress IP가 목록의 IP와 일치하는 요청을 차단하거나 허용하도록 구성할 수 있습니다. WAF가 보는 원본 IP 주소에 대한 요청을 차단해야 하는 경우(예: 사용자가 프록시 뒤에 있는 경우 프록시 서버 주소) Azure Front Door 표준 또는 프리미엄 계층을 사용해야 합니다. 자세한 내용은 Web Application Firewall에서 Azure Front Door에 대한 IP 제한 규칙 구성을 참조하세요.

  • 지리 기반 액세스 제어: 클라이언트의 IP 주소와 연결된 국가 번호를 기반으로 웹 애플리케이션에 대한 액세스를 제어할 수 있습니다.

  • HTTP 매개 변수 기반 액세스 제어: HTTP/HTTPS 요청 매개 변수에서 문자열 일치를 기반으로 규칙을 만들 수 있습니다. 예:쿼리 문자열, POST 인수, 요청 URI, 요청 헤더 및 요청 본문.

  • 요청 메서드 기반 액세스 제어: 요청의 HTTP 요청 메서드에 대한 규칙을 기반으로 합니다. 예: GET, PUT, 또는 HEAD.

  • 크기 제약 조건: 쿼리 문자열, URI 또는 요청 본문과 같은 요청의 특정 부분 길이를 기반으로 규칙을 만들 수 있습니다.

속도 제어 규칙은 모든 클라이언트 IP 주소에서 오는 비정상적으로 높은 트래픽을 제한합니다.

  • 속도 제한 규칙: 1분 동안 클라이언트 IP 주소에서 허용하는 웹 요청 수에 대한 임계값을 구성할 수 있습니다. 이 규칙은 클라이언트 IP 주소의 모든 요청을 허용하거나 차단하는 IP 목록 기반 허용/차단 사용자 지정 규칙과는 다릅니다. 속도 제한은 세부적인 속도 제어를 위해 HTTP(S) 매개 변수 일치와 같은 추가 일치 조건과 결합할 수 있습니다.

Azure 관리형 규칙 세트

Azure 관리형 규칙 세트는 일반적인 보안 위협에 대한 보호를 쉽게 배포할 수 있는 방법을 제공합니다. Azure에서 이러한 규칙 집합을 관리하므로 규칙이 새로운 공격 서명으로부터 보호가 필요할 때 업데이트됩니다. Azure 관리형 기본 규칙 세트에는 다음 위협 범주에 대한 규칙이 포함됩니다.

  • 사이트 간 스크립팅
  • Java 공격
  • 로컬 파일 포함
  • PHP 삽입 공격
  • 원격 명령 실행
  • 원격 파일 포함
  • 세션 고정
  • SQL 삽입 공격 보호
  • 프로토콜 공격자

새로운 공격 서명이 규칙 세트에 추가되면 기본 규칙 세트의 버전 번호가 증가합니다. 기본 규칙 세트는 WAF 정책의 감지 모드에서 기본적으로 사용하도록 설정됩니다. 기본 규칙 세트 내에서 개별 규칙을 사용하지 않거나 사용하도록 설정하여 애플리케이션 요구 사항을 충족할 수 있습니다. 규칙별로 특정 작업(허용/차단/리디렉션/로그)을 설정할 수도 있습니다. 관리되는 기본 규칙 세트의 기본 작업은 블록입니다.

사용자 지정 규칙은 항상 기본 규칙 세트의 규칙을 평가하기 전에 적용됩니다. 요청이 사용자 지정 규칙과 일치하면 해당 규칙 동작이 적용됩니다. 요청이 차단되거나 백 엔드로 전달됩니다. 다른 사용자 지정 규칙이나 기본 규칙 세트의 규칙은 처리되지 않습니다. WAF 정책에서 기본 규칙 세트를 제거할 수도 있습니다.

구성

Azure Portal, REST API, Azure Resource Manager 템플릿 및 Azure PowerShell을 사용하여 모든 WAF 규칙 유형을 구성하고 배포할 수 있습니다.

모니터링

CDN을 사용한 WAF 모니터링은 경고를 추적하고 트래픽 추세를 쉽게 모니터링 하기 위해 Azure Monitor와 연결됩니다.

다음 단계