Azure Web Application Firewall을 사용하는 경우

  • 8분

Azure Web Application Firewall이 무엇이며 어떻게 작동하는지 확인했습니다. 이제 Azure Web Application Firewall이 귀사에 적합한 선택인지 평가하는 데 몇 가지 기준이 필요합니다. 결정하는 데 도움이 되도록 다음과 같은 시나리오를 살펴보겠습니다.

  • 중요한 데이터나 독점 소유 데이터를 포함하는 웹앱이 있는 경우
  • 사용자가 로그인해야 하는 웹앱이 있는 경우
  • 웹앱 개발자에게 보안 전문 지식이 부족한 경우
  • 웹앱 개발자에게 다른 우선 순위가 있는 경우
  • 웹앱 개발 예산 제약 조건이 있는 경우
  • 웹앱 개발 시간 제약 조건이 있는 경우
  • 웹앱을 신속하게 빌드 및 배포해야 하는 경우
  • 웹앱은 출시할 때 높은 관심을 받게 될 예정인 경우

Azure Web Application Firewall을 평가하면서 Contoso가 이러한 여러 시나리오에 적합하다는 것을 알게 되었습니다. 자세한 내용은 해당하는 섹션을 읽어보세요.

중요한 데이터나 독점 소유 데이터를 포함하는 웹앱이 있는 경우

일부 웹 공격자는 시스템을 손상시키려는 목적만 갖습니다. 그러나 대부분의 악의적인 해커는 보상을 바라면서 삽입, 프로토콜 공격 및 비슷한 익스플로잇을 이용합니다. 다음과 같은 항목이 이러한 보상에 해당될 수 있습니다.

  • 고객 신용 카드 번호
  • 운전 면허증 번호 또는 여권 번호와 같은 중요한 개인 정보
  • 독점 소유 또는 기밀 회사 데이터

공격자는 이 데이터를 직접 사용할 수 있습니다. 예를 들어, 사용자는 도난된 신용 카드 번호를 사용하여 품목을 구매할 수 있습니다. 그러나 공격자는 범죄 시장에 데이터를 판매하거나 큰 돈을 받기 위해 데이터를 묶어둘 수 있습니다.

회사에서 중요한 데이터나 독점 소유 데이터를 저장하는 하나 이상의 웹앱을 실행하는 경우 Azure Web Application Firewall은 침입 및 반출 시도로부터 해당 데이터를 보호할 수 있습니다.

사용자가 로그인해야 하는 웹앱이 있는 경우

웹앱 공격자는 계정 사용자 이름 및 암호를 얻으려고 시도하는 경우가 많습니다. 사용자 계정 자격 증명을 사용하는 것은 공격자에게 다음과 같은 방식으로 유용합니다.

  • 공격자는 권한 있는 사용자로서 앱에 액세스할 수 있습니다.
  • 공격자는 상승된 권한으로 스크립트나 명령을 실행할 수 있습니다.
  • 공격자는 네트워크의 다른 부분에 액세스할 수 있습니다.
  • 공격자는 계정의 자격 증명을 사용하여 다른 사이트 및 서비스에 로그인할 수 있습니다.

귀사에서는 사용자가 로그인해야 하는 웹앱을 사용하고 있나요? Azure Web Application Firewall은 계정 자격 증명을 표시하거나 훔치려고 하는 SQL 삽입 및 로컬 파일 포함과 같은 익스플로잇을 감지할 수 있습니다.

중요

Azure Web Application Firewall은 다각적인 네트워크 보안 전략의 한 가지 측면에 불과합니다. 로그인 데이터의 경우 이 전략에는 엄격한 암호 요구 사항을 충족하고 암호화된 형식으로 암호를 저장하는 작업도 포함될 수 있습니다.

웹앱 개발자에게 보안 전문 지식이 부족한 경우

모든 잠재적 웹앱 악용을 고려해서 코딩하려면 상당한 전문 지식이 필요합니다. 이러한 전문 지식에는 다음 개념에 대한 자세한 지식이 포함됩니다.

  • HTTP/HTTPS 요청 및 응답의 일반 구조
  • GET, POST, PUT 등의 특정 HTTP/HTTPS 요청 형식
  • URL 및 UTF 인코딩
  • 사용자 에이전트, 쿼리 문자열 및 기타 변수
  • 여러 서버 운영 체제에 대한 명령, 경로, 셸 및 유사한 데이터
  • HTML, CSS, JavaScript 등의 프런트 엔드 웹 기술
  • SQL, PHP, 사용자 세션 등의 서버 쪽 웹 기술

귀사의 웹 개발 팀에 이러한 개념 중 하나 이상에 대한 정보가 없는 경우에는 어떻게 되나요? 이 경우 웹앱은 여러 익스플로잇에 취약해집니다. 이와 대조적으로 Azure Web Application Firewall은 Microsoft 보안 전문가 팀에서 유지 관리하고 업데이트합니다.

웹앱 개발자에게 다른 우선 순위가 있는 경우

회사에서 SQL 삽입 및 원격 명령 실행과 같은 익스플로잇 방지만을 위해 웹앱을 배포할 가능성은 거의 없습니다. 회사에서 웹앱을 다른 용도로 사용할 가능성이 훨씬 높습니다. 이러한 용도는 제품을 판매하거나 서비스를 제공하거나 비즈니스를 홍보하는 것일 수 있습니다.

웹 개발 팀에서 강력한 앱 보안 코드를 작성하는 대신 이러한 용도를 이행하는 데 집중하는 것을 선호할 수도 있습니다. Azure Web Application Firewall을 사용하면 팀이 비즈니스에 집중하는 동안 Microsoft에서 보안을 관리하도록 할 수 있습니다.

웹앱 개발 예산 제약 조건이 있는 경우

모든 OWASP 익스플로잇을 고려해서 사내 코딩을 수행하려고 하면 비용이 많이 듭니다.

  • 필요한 보안 전문 지식이 있는 웹 개발자는 비교적 드뭅니다. 이러한 개발자는 이러한 전문 지식이 없는 동료보다 더 높은 급여를 요구할 수 있습니다.
  • 모든 웹앱 악용을 고려해서 코딩하는 일이 일회성으로만 필요한 것은 아닙니다. 신규 또는 수정된 익스플로잇이 알려짐에 따라 팀에서는 지속적으로 보안 코드를 유지 관리하고 업데이트해야 합니다. 보안 전문가는 웹 개발 팀의 영구적인 멤버여야 하며 예산을 세울 때 항상 고려해야 합니다.

Azure Web Application Firewall은 무료가 아닙니다. 그러나 정규 웹 보안 전문가 팀을 고용하는 것보다 좀 더 비용 효율적인 솔루션일 수 있습니다.

웹앱 개발 시간 제약 조건이 있는 경우

많은 웹 개발 팀은 모든 OWASP 익스플로잇을 고려해서 사내 코딩을 수행합니다. 그러나 이러한 팀의 대부분은 이러한 코드를 만들고 유지 관리하는 일이 어렵고 시간이 많이 소요된다는 것을 곧 알게 됩니다. 촉박한 새 웹앱 출시 일정을 맞춰야 하는 경우 모든 OWASP 악용으로부터 앱을 보호하기 위해 수천 시간의 작업이 필요하다면 심각한 장애 요인이 될 것입니다.

Azure Web Application Firewall을 사용하면 몇 분 내에 Azure Application Gateway 인스턴스 또는 Azure Front Door 프로필을 구성할 수 있습니다.

웹앱을 신속하게 빌드 및 배포해야 하는 경우

전체적인 개발이 필요한 웹앱은 많지 않습니다. 예를 들어, 다음 두 가지 앱 유형을 고려해 보세요.

  • 개념 증명: 이 앱은 일부 기술, 제안 또는 디자인이 가능하다는 것을 입증하는 데만 사용됩니다.
  • MVP(최소 실행 가능 제품): 이 앱에는 후속 버전에 대한 피드백을 제공하는 얼리어답터가 사용하기에 충분한 기능만 포함됩니다.

개념 증명 및 MVP 웹앱은 모두 신속하게 만들고 배포할 수 있어야 합니다. 이러한 경우 일반적인 악용을 방지하는 코드를 직접 작성하는 것은 적절하지 않습니다. 그렇지만 악의적인 행위자로부터 이러한 앱을 보호해야 하므로 웹 애플리케이션 방화벽 뒤에 앱을 두는 것이 좋습니다.

웹앱은 출시할 때 높은 관심을 받게 될 예정인 경우

마케팅 팀에서 곧 출시될 웹앱을 강력하게 홍보하고 있나요? 여러 소셜 미디어 플랫폼에 메시지를 게시하여 출시 전에 앱에 대한 관심을 높이고 있나요? 바람직한 일입니다. 그렇지만 앱 출시에 관심이 있는 사람이 누군지 알고 있나요? 바로 앱에 대한 몇 가지 일반적인 공격을 시작하여 앱 출시를 중단하려고 할 수 있는 악의적인 사용자 말입니다.

중단을 방지하기 위해 Azure Web Application Firewall을 사용하여 웹앱을 보호하는 것이 적절할 수 있습니다.