웹 응용 프로그램 방화벽

Web application firewall
이 기사는 응용 프로그램 방화벽의 하위 유형에 관한 것이다.응용 프로그램 방화벽에 대한 자세한 내용은 응용 프로그램 방화벽을 참조하십시오.방화벽의 기본 항목은 방화벽(컴퓨팅)을 참조하십시오.
다음에 대한 시리즈 일부
정보 보안
vectorial version
관련 보안 카테고리
위협
방어

웹 애플리케이션 방화벽(WAF)은 웹 서비스에서 들어오고 나가는 HTTP 트래픽을 필터링, 모니터링 및 차단하는 특정 형태의 애플리케이션 방화벽이다.HTTP 트래픽을 검사함으로써 SQL 주입, 사이트스크립팅(XSS), 파일 포함, 부적절한 시스템 구성 등 웹 애플리케이션의 알려진 취약성을 악용하는 공격을 방지할 수 있다.[1]

역사

참고 항목:응용 프로그램 방화벽

전용 웹 애플리케이션 방화벽은 1990년대 후반 웹 서버 공격이 더욱 보편화되던 시기에 시장에 진입했다.

Perfecto Technologies가 AppShield 제품과 함께 개발한 WAF의 초기 버전은 전자상거래 시장에 초점을 맞추고 불법 웹 페이지 캐릭터 입력으로부터 보호되었다.[2]카바도와 길리언 기술의 다른 초기 WAF 제품들은 90년대 후반에 증가하는 웹 어플리케이션에 대한 공격의 양을 해결하려고 노력하면서 동시에 시장에서 구할 수 있었다.2002년에는 WAF 기술의 접근성을 높이기 위해 오픈소스 프로젝트 ModSecurity[3] 결성되었다.그들은 OASIS Web Application Security Technical Committee(WAS TC)의 취약성 작업을 바탕으로 웹 응용 프로그램 보호를 위한 핵심 규칙 세트를 확정했다.2003년에는 웹 보안 취약점의 연간 순위인 OWASP(Open Web Application Security Project) Top 10 List를 통해 규칙을 확장하고 표준화하였다.이 목록은 웹 애플리케이션 보안 준수를 위한 업계 표준이 될 것이다.[4][5]

이후 특히 신용카드 사기 예방에 중점을 두고 시장이 지속적으로 성장하고 진화했다.카드 보유자 데이터에 대한 통제의 표준화인 PCI DSS(Payment Card Industry Data Security Standard)가 개발되면서 이 분야에서는 보안 규제가 강화됐다.CISO 매거진에 따르면 WAF 시장은 2022년까지[6] 54억8000만 달러로 성장할 것으로 예상됐다.[7]

설명

웹 응용 프로그램 방화벽은 웹 응용 프로그램에 특별히 적용되는 응용 프로그램 방화벽의 특별한 유형이다.웹 응용 프로그램 앞에 배치되어 양방향 웹 기반(HTTP) 트래픽을 분석하여 악의적인 것을 탐지하고 차단한다.OWASP는 WAF에 대한 광범위한 기술적 정의를 "기술적인 관점에서 볼 때 애플리케이션 자체에 의존하지 않는 웹 애플리케이션 수준의 보안 솔루션"[8]으로 제공한다.요구 사항 6.6에 대한 PCI DSS 정보 부록에 따르면 WAF는 "웹 애플리케이션과 클라이언트 엔드포인트 사이에 위치한 보안 정책 시행 지점"으로 정의된다.이 기능은 소프트웨어 또는 하드웨어, 어플라이언스 장치 또는 공통 운영 체제를 실행하는 일반적인 서버에서 구현될 수 있다.독립형 장치일 수도 있고 다른 네트워크 구성요소에 통합될 수도 있다."[9]즉, WAF는 웹 애플리케이션의 취약성이 외부 위협에 의해 악용되는 것을 방지하는 가상 또는 물리적 어플라이언스가 될 수 있다.이러한 취약성은 애플리케이션 자체가 레거시 유형이거나 설계에 의해 충분히 코딩되지 않았기 때문일 수 있다.WAF는 정책이라고도 알려진 규칙 집합의 특별한 구성에 의해 이러한 코드 단점을 해결한다.

이전에 알려지지 않았던 취약성은 침투 테스트나 취약성 스캐너를 통해 발견할 수 있다.웹 응용 프로그램 보안 스캐너라고도 하는 웹 응용 프로그램 취약성 스캐너SAMATE NIST 500-269에서 "웹 응용 프로그램의 잠재적 보안 취약성을 검사하는 자동화된 프로그램"으로 정의된다.이 도구는 웹 애플리케이션별 취약점을 검색하는 것 외에도 소프트웨어 코딩 오류도 찾아낸다.[10]취약성 해결은 흔히 교정조치라고 한다.코드 수정은 애플리케이션에서 할 수 있지만 일반적으로 보다 신속한 대응이 필요하다.이러한 상황에서, 일시적이지만 즉각적인 수정(가상 패치라고 함)을 제공하기 위한 고유한 웹 애플리케이션 취약성에 대한 사용자 지정 정책의 적용이 필요할 수 있다.

WAF는 궁극적인 보안 솔루션이 아니라 네트워크 방화벽 및 침입 방지 시스템과 같은 다른 네트워크 경계 보안 솔루션과 함께 사용하여 전체적인 방어 전략을 제공하도록 되어 있다.

WAF는 일반적으로 SANS 연구소에서 언급한 바와 같이 긍정적인 보안 모델, 부정적인 보안 또는 두 가지 모두의 조합을 따른다.[11]WAF는 규칙 기반 논리, 구문 분석 및 서명을 조합하여 사이트 간 스크립팅, SQL 주입 등의 공격을 탐지하고 방지한다.OWASP는 상위 10개 웹 애플리케이션 보안 결함 목록을 작성한다.모든 상업적 WAF 제공물들은 최소한 이 10가지 결함을 다루고 있다.비상업적 옵션도 있다.앞서 언급했듯이, ModSecurity라고 불리는 잘 알려진 오픈 소스 WAF 엔진은 이러한 옵션들 중 하나이다.WAF 엔진만으로는 적절한 보호를 제공하기에 불충분하므로 OWASP는 Trustwave의 Spiderlabs와 함께 ModSecurity WAF 엔진과 함께 사용할 GitHub[12] 통해 코어 규칙 세트를 구성하고 유지 관리하는 데 도움이 된다.[13]

배포 옵션

작동 모드의 이름은 다를 수 있지만 WAF는 기본적으로 세 가지 다른 방법으로 인라인으로 배치된다.NSS Labs에 따르면 배포 옵션은 투명 브리지, 투명 역방향 프록시, 역방향 프록시 등이 있다.[14]'투명하다'는 HTTP 트래픽이 웹 애플리케이션으로 바로 전송되기 때문에 클라이언트와 서버 간에 WAF가 투명하다는 사실을 말한다.이는 WAF가 프록시 역할을 하고 클라이언트의 트래픽이 WAF로 직접 전송되는 역방향 프록시와는 대조적이다.WAF는 여과된 트래픽을 웹 애플리케이션으로 별도로 전송한다.이는 IP 마스킹과 같은 추가적인 이점을 제공할 수 있지만, 성능 지연과 같은 단점이 발생할 수 있다.

참고 항목

참조

  1. ^ "Web Application Firewall". TechTarget. Retrieved 10 April 2018.
  2. ^ "Perfecto Technologies Delivers AppShield for E-Business - InternetNews". www.internetnews.com. Retrieved 2016-09-20.
  3. ^ "ModSecurity homepage". ModSecurity.
  4. ^ DuPaul, Neil (25 April 2012). "What is OWASP? Guide to the OWASP Application Security Top 10". Veracode. Retrieved 10 April 2018.
  5. ^ Svartman, Daniel (12 March 2018). "The OWASP Top Ten and Today's Threat Landscape". ITProPortol. Retrieved 10 April 2018.
  6. ^ Harsh (2021-12-26). "Web Application Firewall (WAF) Market CAGR of 19.2% 2021". Firewall Authority. Retrieved 2021-12-26.
  7. ^ "Web Application Firewall Market Worth $5.48 Billion by 2022". CISO Magazine. 5 October 2017. Retrieved 10 April 2018.
  8. ^ Maximillan Dermann; Mirko Dziadzka; Boris Hemkemeier; Alexander Meisel; Matthias Rohr; Thomas Schreiber (July 7, 2008). "OWASP Best Practices: Use of Web Application Firewalls ver. 1.0.5". OWASP. OWASP.
  9. ^ PCI Data Security Standards Council (October 2008). "Information Supplement: Application Reviews and Web Application Firewalls Clarified ver. 1.2" (PDF). PCI DSS. PCI DSS.
  10. ^ Paul E. Black; Elizabeth Fong; Vadim Okun; Romain Gaucher (January 2008). "NIST Special Publication 500-269 Software Assurance Tools: Web Application Security Scanner Functional Specification Version 1.0" (PDF). SAMATE NIST. SAMATE NIST.
  11. ^ Jason Pubal (March 13, 2015). "Web Application Firewalls - Enterprise Techniques" (PDF). SANS Institute. SANS Institute InfoSec Reading Room.
  12. ^ "Core-Rule Set Project Repository". GitHub.
  13. ^ "OWASP ModSecurity Core Rule Set Project". OWASP.
  14. ^ "TEST METHODOLOGY Web Application Firewall 6.2". NSS Labs. NSS Labs. Retrieved 2018-05-03.