1.1 kt KT Cloud 웹방화벽 Pro 서비스 소개

1.1.1 목적/용도

현재 해킹 공격의 80 ~ 90%는 웹을 겨냥하고 있음

현대인의 생활과 웹은 아주 밀접한 관계를 가지고 있으며, 제공되는 웹 서비스 또한 그 규모가 점점 더 커지고 있고, 오프라인으로만 존재하던 서비스들이 계속적으로 온라인 웹 서비스로 전환 되고 있는 추세입니다. 웹이 대중화 되면서 웹을 주요 타겟으로 삼고 기업의 정보 혹은 자산을 노리는 사이버 공격 또한 증가하게 되었습니다. KT Cloud 웹방화벽 Pro 서비스를 통하여 귀사의 안전한 웹 서비스 환경을 보장합니다.

kt KT Cloud 웹방화벽 Pro는 보안전문가에 의해 종합적인 웹서버 보안을 관리하는 매니지드형 웹방화벽 서비스로 OWASP Top 10 공격을 비롯한 최신 웹 공격 방어는 물론 컨설팅부터 설치, 운영, 침해대응까지 종합적인 보안관제서비스를 저렴한 비용으로 안정적으로 제공받을 수 있습니다.

ㅁ F/W, IPS, WAF 비교

구분 Firewall IPS WAF

내용

- 네트워크 인프라를 보호하는 데 임무 초점
- 80, 443 포트는 정상적인 통신으로 간주
- 웹 프로토콜(HTTP, HTTPS) 제어 불가능
- L3 – L7 Layer 전반에 걸친 보안 기능 제공
- SSL 통신에 대한 방어능력 미흡
- 시그니처 방식에 의존 함으로, 우회 취약구간 다수 발생
- 세부 정책 구현 미 제공
- HTTP, HTTPS에 대한 강력하고 전문적인 보안 가능
- Positive Security Model 구현으로 알려지지 않은 공격에 대해 원천적으로 차단 가능

ㅁ 웹방화벽 주요 보안 기능

Policy Functions WAF Pro 2core WAF Pro 4core WAF Pro 8core 비고
기본설정 웹서버/URL 그룹 O O O  
차단페이지/운영모드 O O O  
취약성
공격감지
OWASP TOP 10 공격탐지 O O O  
국정원 8대 취약점 공격탐지 O O O  
비정상
요청/응답
HTTP 헤더 탐지 O O O  
어플리케이션 프로파일링 O O O  
DoS 공격 탐지 O O O  
서버/데이터 보호 에러페이지 클로킹 O O O  
디렉토리 리스킹 O O O  
사용자 정의
탐지
URL 접근 툴 O O O  
키워드 필터링 룰 O O O  
IP ACL O O O  
사용자정의 패턴 룰 O O O  
웹 가속 설정 모니터링 O O O  
정책 설정 O O O  
정책관리 백업 및 복구 O O O  
정책 설정 마법사 O O O  
정책 동기화 O O O  

- PCI-DSS Compliance 의 요구사항 지원
- Known/Unknown 공격 탐지 및 차단 방어
- TCP 세션 임계치 및 Slow DoS 공격을 탐지 및 차단
- 개인정보 포함 파일 업로드/다운로드 탐지, 차단
- 주민등록번호, 전화번호, 신용카드번호, 이메일 탐지
- 다양한 공격에 대한 요청/응답 기반 공격 탐지
- 파라미터 분석을 통한 공격 탐지 및 차단
- 주요 서버 정보 및 개인정보 유출 방지
- X-Forwarded-For origin IP 탐지 및 차단
- 화이트리스트/블랙리스트/공격자 IP 자동 탐지
- 암호화된 HTTPS 통신 웹 보안
- SSL Offload/SSL Termination
- Non HTTP 트래픽 자동 선별 및 처리

ㅁ KT Cloud 웹방화벽 Pro 주요 특징

  • 매니지드 통합서비스
    • kt KT Cloud 웹방화벽 Pro는 보안전문가를 통한 매니지드형 서비스 제품으로 초기 컨설팅부터 설치, 운영, 침해대응까지 종합적인 관제서비스를 제공합니다.
    • 24*365 실시간 관제서비스를 통하여 고객의 웹서버를 향한 침해공격에 선제적인 대응 및방어로 전문적인 웹방화벽 보안서비스를 제공합니다.
  • 클라우드 환경의 최적관리
    • 전문보안요원을 통하여 클라우드 환경에서도 편리한 보안관리 서비스를 제공하며 복잡하고 어려울 수 있는 웹 애플리케이션에 대한 이해를 통한 보안과 관제센터 운영을 통해 고객의 비즈니스 핵심역량에 집중할 수 있도록 합니다.
  • 뛰어난 성능 및 멀티관리
    • kt KT Cloud 웹방화벽 Pro는 클라우드 내 구성된 웹방화벽으로써, 다수의 웹사이트와 웹서버를 최상의 성능으로 동시에 보호할 수 있습니다.
  • 안전성
    • 실시간 모니터링 요원을 통하여 KT Cloud 웹방화벽 Pro의 이상증상을 즉시 파악하여 신속히 조치하여, 고객의 웹 보안성을 향상시키고 웹 서비스를 안정적으로 운영하도록 합니다.
  • 편의성
    • 웹사이트 별 현황에 대한 선택적 모니터링이 가능하며, 유형별/시간별/일자별 로그 통계 및 보고서를 출력할 수 있습니다.
    • 멀티도메인 관리가 가능하며, 원 클릭을 통한 URL 예외처리와 다수의 보안 시스템에 대한 통합 관리가 가능합니다.
    • 침입로그에 대한 상세 검색 및 분석을 통하여 고객 웹방화벽의 감사기능을 제공합니다.

1.1.2 구조/원리

ㅁ Reverse Proxy 구성 방식

KT Cloud 웹방화벽 Pro의 네트워크 구성방식은 Reverse Proxy 입니다. 일반적인 Web Proxy 서버와 유사한 구성으로 웹방화벽의 논리적인 네트워크 설정(도메인, IP 등)을 활용합니다. Reverse Proxy 환경에서 웹방화벽의 보안 서비스를 제공받기 위해서는 DNS 혹은 GSLB의 설정을 수정하여 기존 웹서버로 향하던 트래픽이 웹방화벽을 바라보도록 해주어야 합니다. Reverse Proxy 환경 특성 상 웹서버에서 실제 접속자의 IP 주소를 확인하기 위해서는 X-Forwarded-For 관련 설정을 해주어야 합니다.

ㅁ 웹방화벽 서비스 네트워크 구조

KT Cloud 는 외부에서 접근 가능한 VR(Virtual Router)을 제공하며, VR을 거쳐 내부에 사용자가 생성한 VM이 위치하게 됩니다. 각 VM은 VR을 통해 인터넷 통신이 가능하므로 모든 Outbound Traffic은VR을 거치며 Source NAT가 적용됩니다. 웹방화벽과 서버 간의 VM 통신은 내부 사설 IP로 진행되며 사용자의 Cloud 서버는 VLAN 기술 등에 의한 독립된 보안성을 제공받을 수 있습니다.
아래는 KT Cloud 의 LB(로드밸런서)를 이용한 웹방화벽 이중화 구성도의 예시입니다. LB에서는 각 트래픽 Path에 따라 구분되는 서비스 포트로 로드밸런싱하고, VR에서는 웹방화벽의 서비스 포트로 포트 포워딩을 수행합니다. 웹방화벽에서는 서버로 트래픽을 전달하기 위하여 출발지/목적지 포트를 매핑합니다.
LB, VR, 웹방화벽, 웹서버에서의 구간 별 TCP/IP 정보는 아래 예시와 같이 변경됩니다.

1.1.3 유의사항/제약사항

1. 과도한 웹트래픽 발생시에도 웹서비스를 안정적으로 제공하기 위해서는 고객의 서비스 환경에 맞는 적절한 성능의 WAF 상품 선택 및 이중화 구성이 필요합니다. WAF 이중화 구성으로 로드밸런서(LB)를 이용한 Active-Active 구성을 지원합니다. 또는 DNS, GSLB 를 이용하여 DNS-Failover 구성도 가능합니다.(추가 구성 필요)
2. LB에서 웹방화벽에 대하여 HTTP/HTTPS 프로토콜로 헬스체크를 수행하도록 설정되어야 하며 Back-end까지의 서비스 체크를 위하여 웹방화벽에도 추가 설정이 필요합니다.(24시간 설정 지원 제공)
3. 각 WAF 상품별 Throughput을 초과하는 Traffic 발생 시에는 과부하로 인한 웹방화벽 성능 저하 또는 서비스 중단이 발생할 수 있습니다.
4. 웹방화벽의 펌웨어 업데이트 시에는 재부팅으로 인한 서비스 중단이 발생할 수 있으므로 사전 일정에 대한 협의가 필요합니다.
5. 웹방화벽 Pro 상품은 운영체제 및 내부 데이터베이스의 안정적인 작동을 위하여 웹 애플리케이션 방화벽으로만 동작하도록 설계되고 구성된 전용 서버이므로, 내부 구성을 변경하거나 다른 목적으로 사용 시의 결과에 대하여 지원이 불가할 수 있습니다.
6. 웹방화벽 Pro는 HTTP/HTTPS 트래픽에 대한 보안을 위하여 개발되었습니다. 따라서 반드시 부가적인 방화벽이나 침입탐지 시스템과 병행 운영되어야 합니다.
7. 웹방화벽 Pro 는 네트워크 상 클라이언트와 웹서버 간 중간 지점에 위치해야 하며, 웹서비스를 보호받기 위해서 양자간의 HTTP(S) 통신은 웹방화벽을 통해서만 이루어져야 합니다.
8. 네트워크 구성 변경, 웹사이트의 증감 등으로 네트워크 환경이 변화될 때에는 반드시 변화된 환경에 맞추어 보안정책을 반영하여야 합니다.
관제시스템과 같은 외부 시스템과의 연동 시 SNMP, ESM 등을 사용할 수 있으며, 이때 신뢰된 네트워크 구간 내에서 안전하게 유지되도록 관리해야 합니다.
제품 유지보수 절차를 통해 최신의 보안 패치가 적용된 상태로 운영되도록 해야 합니다.
9. 웹방화벽 Pro는 신뢰할 수 있는 타임스탬프를 제공합니다. 안전한 운영을 위해 관리도구용 PC 에 대해서도 OS 가 제공하는 타임스탬프 동기화 기능을 적용하여 일관성을 유지해야 합니다.
10. 웹방화벽 Pro는 인가된 관리자에 의해 안전한 방식으로 구성, 관리, 사용되어야 합니다.
11. 관리자는 웹방화벽 Pro 관리기능에 대해 적절히 교육 받아야 하고, 관리자 지침에 따라 정확하게 의무를 수행하여야 합니다.
12. 웹방화벽 Pro 관리콘솔은 최신의 보안 패치가 적용된 OS 가 설치된 안전한 관리자 PC 에서 접근해야 하며 신뢰할 수 있는 네트워크 구간에서만 접속 가능하도록 하여야 합니다.
13. 웹브라우저를 통해 웹방화벽 Pro에 접속하는 경우, SSL로 암호화된 트래픽을 통해 정보를 전달하므로 정보의 비밀성을 유지합니다.
14. 웹방화벽 Pro는 정상적인 웹트래픽의 경우에도 Payload 데이터를 분석하여 공격을 방어하는 어플리케이션 계층(L7)의 보안 장비로 L3 계층의 보안 장비에 비해 상대적으로 많은 서버 성능을 요합니다.