-
발표자 : 펜타시큐리티 사업기획팀 박준형
-
AWS 마켓플레이스 서비스 한국 확대됨
용어 정리
- AWS WAF : AWS 자체 제공하는 웹 어플리케이션 방화벽
- WEB ACL이라는 유닛으로 나뉨
- 애플리케이션에 대해 트래픽 제어 정책 정의하는 핵심 구성 요소 및 단위
- 파티셔닝 개념으로 받아들이자..
- WCU(Web ACL Capacity Unit)으로 용량 제한. 1500 WCU 넘으면 추가요금. 5000은 기본 사용가능
- Managed Rule : 1500 이하로 룰그룹 구성.
- Rule Group : 규칙의 총집합
- rule : 웹 어플리케이션으로 유입되는 트랙픽 분석
- source ip → ip set과 비교.. → Json, AWS WAF 상에서 제공되는 WAF를 통해..
- 가장 작은 단위 statement < rule group < aws waf로 커지게 됨
- Rule Action → 조치에 대한 정의
- Rule 조건에 부합하면 트랙픽 유입 허용 allow
- block : rule 조건 부합시 트랙픽 유입 차단
- count : 조건 부합시 트랙픽 유입 허용 + 로그 기록
- allow - 종료
- count - non-terminate 동작
- captcha, challenge → protection
- 사용자가 captcha 퍼즐을 성공적으로 ㅍㄹ면, 토큰 발급 → 일정 시간동안 면역기간 부여
- 실제로 보이는 퍼즐, 사용자가 수행되는 퍼즐을 수행하는 것이 아니라, 브라우저, 클라이언트가 자동으로 통과해야하는 비가시적 검증 수행 → challenge
- challenge는 일정 시간동안 면역 기간 부여.. → 일정 시간동안 자유로이 접근 가능
- statement, rule action 정의 및 최적화 중요
- WAF 사용하는 목적
- 웹 어플리케이션 보호의 핵심 수단
- aws 네이티브 통합과 운영 효율성
- owasp 공격 취약점 방어. 자동화 위협 차단 → 애플리케이션 계층 ddos 공격 대응
- aws 자체 룰 → 서드파티 룰 + 커스텀 룰까지 제공 가능 → 세밀한 조합 가능 → 환경 최적화
- aws waf - 고성능 waf를 클릭 몇번으로 적용 → 비용 효율적이다
- compliance and audit 대응
- 외부 솔루션과의 확장성
어려움
- 룰 구성 시 요구되는 전문성
- 오탐 및 미탐 발생시 대응
- 룰 최적화에 요구되는 리소스
- 데이터베이스 퀼리티 및 CTI 활용성
룰 심층분석
- 커스텀 룰 : 사용자가 직접 정의한 규칙
- 매우 높은 자유도
- 보안 정책에 맞춰 세밀한 제어 가능
- WAF의 모든 기능 활용 가능(IP, Geo, Rate Limit, Regex 등)
- 특정 트래픽 패턴(uri, 헤더, ip 크기)에 맞게 커스터마이징 가능
- 문제는 유지보수나 업데이트는 전적 사용자 책임
- AWS Managed Rule Group
- OWASP top 10, Sql injection, xss, 일반 애플리케이션 취약점 등에 대한 룰 포함
- aws 보안 전문가가 작성및 유지보수, 자동 업데이트(새로운 취약점댕ㅇ)
- 과금 문제, 커스터마이징 불편
- 목적별 룰의 구분
- 위협 탐지 및 완화 룰
- Rule Group 작성시 알려진 공격 시그니처, 패턴 reference
- Regex 세팅 + Reference → Rule 실제로 동작학 함’
- OWASp top 10 등 어플리케이션 연동
- Sql injection, command injection, Xss, Local file incursion, Path Traversal, Http Response SPlitting
- 접근 제어 룰
- 허용된 사용자, 위치, ip만 접근
- 기타소스 접근시도 ㅏ단
- 봇 관리 및 자동화 탐지 룰
- 비정상 봇, 스크래퍼, 자동화 도구 탐지 및 제어, 합법적 봇은 허용
- 평판 및 위협 인테
- 프로토콜 및 리섹스 검즈
- 애플리케이션 전용 룰