Azure 웹 애플리케이션 방화벽을 사용하는 경우

  • 8분

Azure Web Application Firewall이란 무엇이며 작동 방식을 알고 있습니다. 이제 Azure Web Application Firewall이 회사에 적합한 선택인지 여부를 평가하는 데 도움이 되는 몇 가지 기준이 필요합니다. 결정하는 데 도움이 되도록 다음과 같은 시나리오를 살펴보겠습니다.

  • 중요한 데이터 또는 독점 데이터를 포함하는 웹앱이 있습니다.
  • 사용자가 로그인해야 하는 웹앱이 있습니다.
  • 웹앱 개발자는 보안 전문 지식이 부족합니다.
  • 웹앱 개발자는 다른 우선 순위를 갖습니다.
  • 웹앱 개발 예산 제약 조건이 있습니다.
  • 웹앱 개발 시간 제약 조건이 있습니다.
  • 웹앱을 신속하게 빌드하고 배포해야 합니다.
  • 당신의 웹앱 출시는 주목받는 행사가 될 것입니다.

Azure 웹 애플리케이션 방화벽 평가의 일환으로 Contoso가 이러한 시나리오 중 몇 가지에 적합하다는 것을 알고 있습니다. 자세한 내용은 해당하는 섹션을 읽어보세요.

중요한 데이터 또는 독점 데이터를 포함하는 웹앱이 있습니다.

시스템을 침입하는 도전은 일부 웹 공격자에게 유일한 동기입니다. 그러나 대부분의 악의적인 해커는 이득을 염두에 두고 인젝션 공격, 프로토콜 공격, 그리고 유사한 익스플로잇 수법을 사용합니다. 이 보수는 다음 항목 중 어느 것일 수 있습니다.

  • 고객 신용 카드 번호
  • 운전 면허증 번호 또는 여권 번호와 같은 중요한 개인 정보
  • 독점 또는 비밀 회사 데이터

공격자가 이 데이터를 직접 사용할 수 있습니다. 예를 들어 사용자는 도난당한 신용 카드 번호가 있는 항목을 구매할 수 있습니다. 그러나 공격자가 범죄 시장에서 데이터를 판매하거나 몸값을 위해 데이터를 보유할 가능성이 높습니다.

회사에서 중요한 데이터 또는 독점 데이터를 저장하는 하나 이상의 웹앱을 실행하는 경우 Azure Web Application Firewall은 침입 및 반출 시도로부터 해당 데이터를 보호할 수 있습니다.

사용자가 로그인해야 하는 웹앱이 있습니다.

웹앱 공격자는 종종 계정 사용자 이름 및 암호를 가져오려고 합니다. 사용자 계정 자격 증명을 갖는 것은 다음과 같은 방법으로 공격자에게 유용합니다.

  • 공격자는 권한 있는 사용자로 앱에 액세스할 수 있습니다.
  • 공격자는 상승된 권한으로 스크립트 또는 명령을 실행할 수 있습니다.
  • 공격자가 네트워크의 다른 부분에 액세스할 수 있습니다.
  • 공격자는 계정의 자격 증명을 사용하여 다른 사이트 및 서비스에 로그인할 수 있습니다.

비즈니스에서 사용자가 로그인해야 하는 웹앱을 사용하나요? Azure Web Application Firewall은 계정 자격 증명을 표시하거나 도용하려는 SQL 삽입 및 로컬 파일 포함과 같은 악용을 검색할 수 있습니다.

중요합니다

Azure 웹 애플리케이션 방화벽은 다각적인 네트워크 보안 전략의 한 측면일 뿐입니다. 로그인 데이터의 경우 해당 전략에는 엄격한 암호 요구 사항이 있고 암호화된 형식으로 암호를 저장하는 것도 포함될 수 있습니다.

웹앱 개발자는 보안 전문 지식이 부족합니다.

잠재적인 웹앱 악용의 전체 범위에 대한 코딩에는 상당한 전문 지식이 필요합니다. 이 전문 지식에는 다음 개념에 대한 자세한 지식이 포함됩니다.

  • HTTP/HTTPS 요청 및 응답의 일반적인 구조
  • 특정 HTTP/HTTPS 요청 형식(예: GET, POST 및 PUT)
  • URL 및 UTF 인코딩
  • 사용자 에이전트, 쿼리 문자열 및 기타 변수
  • 여러 서버 운영 체제에 대한 명령, 경로, 셸 및 유사한 데이터
  • HTML, CSS 및 JavaScript와 같은 프런트 엔드 웹 기술
  • SQL, PHP 및 사용자 세션과 같은 서버 쪽 웹 기술

회사의 웹 개발 팀이 이러한 개념 중 하나 이상에 대한 지식이 없다면 어떻게 해야 할까요? 이 경우 웹앱은 여러 악용에 취약합니다. 반면, Microsoft 보안 전문가 팀이 Azure Web Application Firewall을 유지 관리하고 업데이트합니다.

웹앱 개발자에게 다른 우선 순위가 있습니다.

회사에서 SQL 삽입 및 원격 명령 실행과 같은 악용을 저지하기 위한 목적으로만 웹앱을 배포할 가능성은 거의 없습니다. 회사에서 웹앱에 다른 용도를 사용할 가능성이 훨씬 더 높습니다. 이러한 목적은 제품을 판매하거나, 서비스를 제공하거나, 비즈니스를 홍보하는 것입니다.

웹 개발 팀이 강력한 앱 보안 코드를 작성하는 대신 이러한 목적을 충족하는 데 집중하는 것이 좋습니다. Azure Web Application Firewall을 사용하면 팀이 비즈니스에 집중하는 동안 Microsoft에서 보안을 관리할 수 있습니다.

웹앱 개발 예산 제약 조건이 있습니다.

모든 OWASP 악용에 대한 사내 코딩은 비용이 많이 드는 제안입니다. 필요한 보안 전문 지식을 갖춘 웹 개발자는 비교적 드뭅니다. 이러한 개발자는 이러한 전문 지식이 부족한 동료보다 더 높은 급여를 명령할 수 있습니다.

또한 웹앱 악용의 전체 범위에 대한 코딩은 일회성 전용 제안이 아닙니다. 신규 또는 수정된 악용이 알려짐에 따라 팀은 보안 코드를 지속적으로 유지 관리하고 업데이트해야 합니다. 보안 전문가는 웹 개발 팀의 영구 구성원이 되어야 하며 예산의 영구 품목이 되어야 합니다.

Azure 웹 애플리케이션 방화벽은 무료가 아닙니다. 그러나 전임 웹 보안 전문가 팀을 고용하는 것보다 비용 효율적인 솔루션이라는 것을 알 수 있습니다.

웹앱 개발 시간 제약 조건이 있습니다.

많은 웹 개발 팀은 모든 OWASP 악용에 대해 사내 코드를 제공합니다. 그러나 대부분의 팀은 곧 이 코드를 만들고 유지 관리하는 것이 힘들고 시간이 많이 소요된다는 것을 알게 됩니다. 새 웹앱을 시작하기 위해 촉박한 기한을 맞추려는 경우 모든 OWASP 악용으로부터 앱을 보호하는 데 필요한 수천 시간의 사용자 시간이 주요 장애물입니다.

몇 분 안에 Azure Web Application Firewall을 사용하여 Azure Application Gateway 인스턴스 또는 Azure Front Door 프로필을 구성할 수 있습니다.

웹앱을 신속하게 빌드하고 배포해야 합니다.

대부분의 웹앱에는 전체 개발 처리가 필요하지 않습니다. 예를 들어 다음 두 가지 앱 유형을 고려합니다.

  • 개념 증명: 앱은 일부 기술, 제안 또는 디자인이 가능하다는 것을 증명하기 위한 것입니다.
  • MVP(최소 실행 가능한 제품) : 앱에는 향후 버전에 대한 피드백을 제공하는 얼리어답터에서 사용할 수 있는 충분한 기능만 포함되어 있습니다.

개념 증명 및 MVP 웹앱은 모두 신속하게 만들고 배포해야 합니다. 이러한 경우 일반적인 악용에 대해 직접 코딩하는 것은 의미가 없습니다. 악의적인 행위자로부터 이러한 앱을 보호하려고 하므로 웹 애플리케이션 방화벽 뒤에 배치하는 것이 좋습니다.

웹앱 출시가 대대적으로 주목받을 것입니다.

마케팅 팀이 곧 출시될to-be웹앱을 강력하게 홍보하고 있나요? 출시를 앞두고 앱에 대한 관심을 끌기 위해 여러 소셜 미디어 플랫폼에 메시지를 게시하고 있습니까? 좋은 기능이지만 앱 릴리스에 관심이 있는 다른 사용자가 누구인지 알고 계십니까? 앱에 대한 몇 가지 일반적인 공격을 시작하여 앱 릴리스를 중단하려고 시도할 수 있는 악의적인 사용자입니다.

중단을 방지하기 위해 Azure 웹 애플리케이션 방화벽을 사용하여 웹앱을 보호하는 것이 합리적일 수 있습니다.