Amazon Web Services 한국 블로그
AWS Managed Rules for AWS WAF 기능 출시
안전한 애플리케이션을 구축해서 배포하는 것은 중요한 작업이고 위협 동향은 끊임없이 변화합니다. AWS는 강력한 클라우드 보안 태세를 유지하는 어려움을 줄이기 위한 노력을 아끼지 않고 있습니다.
이번에 출시한 AWS Managed Rules for AWS WAF라는 신규 기능은 직접 방화벽을 위한 보안 접속 규칙을 작성하거나 관리하지 않고도 애플리케이션을 보호하는 데 도움이 됩니다. 또한, 새롭게 개선된 콘솔과 그 어느 때보다 애플리케이션을 손쉽게 안전하게 지킬 수 있는 API를 출시하여 AWS WAF서비스도 여러 가지로 개선했습니다.
AWS WAF는 웹 애플리케이션 방화벽입니다. 이를 통해 애플리케이션에 허용할 트래픽이나 거부할 트래픽을 통제하는 규칙을 정의할 수 있습니다. AWS WAF를 사용하면 SQL 인젝션이나 사이트 간 스크립팅 공격과 같은 일반적인 위협을 차단하는 데 도움이 됩니다. AWS WAF는 Amazon API Gateway, Amazon CloudFront 및 Application Load Balancer와 함께 사용할 수 있습니다.
이번에 OR 연산자를 도입하여 규칙을 더욱 간단하게 작성할 수 있게 되어 과거에 여러 가지 규칙이 필요했던 평가가 간편해집니다. API 경험이 대폭 개선되어서 이제 한 번의 API 호출로 복잡한 규칙을 작성하고 업데이트할 수 있게 됩니다. WAF Capacity Unit(WCU)을 도입하면서 각 웹 ACL(액세스 제어 목록)에 적용되던 규칙 10개 한도를 제거했습니다. WCU로 전환하면 수백 개의 규칙을 생성할 수 있게 됩니다. 웹 ACL(액세스 제어 목록)에 규칙이 1개 추가될 때마다 배포되는 규칙 유형에 따라 용량이 소모되고 각 웹 ACL에는 지정된 WCU 한도가 적용됩니다.
새로운 AWS WAF 사용하기
어떤 변경 사항이 있는지 살펴보고 AWS Managed Rules for AWS WAF를 활성화해보겠습니다. 먼저 AWS WAF로 가서 새로운 버전으로 전환할 것입니다.
그런 다음에는 새 웹 ACL을 생성하고 계정의 기존 API 게이트웨이 리소스에 추가할 것입니다.
이제 웹 ACL에 몇 가지 규칙을 추가할 수 있게 되었습니다. 새로운 AWS WAF는 규칙 엔진이 개선되었습니다. 구문을 AND, OR 및 NOT 연산자와 결합해서 더욱 복잡한 규칙 로직을 생성할 수 있습니다.
HTTP 메서드 POST를 사용하는 모든 요청을 차단하는 간단한 규칙을 작성해보겠습니다. 여러 가지 텍스트 변환을 지원하는 멋진 기능도 추가되었습니다. 예를 들어 모든 요청을 변환하여 HTML 엔터티를 복호화한 다음, 소문자로 바꿀 수 있습니다.
이제 JSON 개체로 웹 ACL 규칙(및 웹 ACL 자체)을 정의하여 애플리케이션 코드와 일치시킬 수 있고 버전 관리가 가능한 자산으로 만들 수 있습니다. 또한, 이 JSON 문서를 사용하여 한 번의 API 호출로 규칙을 작성하거나 업데이트할 수 있습니다.
AWS Managed Rules for AWS WAF 사용하기
이제 완전히 새로운 기능인 AWS Managed Rules를 사용해보겠습니다. AWS Managed Rules는 즉시 보호를 제공합니다. AWS 위협 조사팀에서 규칙을 관리하고, 추가적인 위협이 확인되면 새로운 규칙이 추가됩니다. 추가적인 규칙 세트는 AWS Marketplace에서 제공됩니다. 관리형 규칙 그룹을 선택하고 웹 ACL에 추가하면 그 즉시 AWS WAF가 일반적인 위협으로부터 보호하는 데 도움을 줍니다.
저는 SQL 공격으로부터 보호하는 규칙 그룹을 선택하고 코어 규칙 세트를 활성화했습니다. 코어 규칙 세트는 OWASP 상위 10개 출판물에서 설명한 일부 일반적인 위협과 보안 위험에 적용됩니다. 웹 ACL을 작성하고 변경 사항을 전파하자마자 앱이 SQL 인젝션과 같은 다양한 공격으로부터 보호되기 시작할 것입니다. 이제 ACL에 추가한 규칙이 무엇이고 어떤 상태가 되었는지 살펴보겠습니다.
데모 규칙은 상당히 간단하므로 많은 용량이 필요하지 않습니다. 관리형 규칙은 좀 더 많은 용량을 사용하지만 이 웹 ACL에는 용량이 넉넉히 남아 있어서 규칙을 더 많이 추가할 수 있습니다.
주요 사항
지금까지 새롭게 개선된 AWS WAF의 장점을 간단히 알아보았습니다. 콘솔에서 이 기능을 활성화하기 전에 몇 가지 기억해야 할 점이 있습니다.
- 새로운 AWS WAF는 AWS CloudFormation을 지원하기 때문에 CloudFormation 템플릿을 사용하여 웹 ACL과 규칙을 작성하고 업데이트할 수 있습니다.
- AWS Managed Rules를 사용해도 추가 요금이 부과되지 않습니다. AWS Marketplace 판매자로부터 관리형 규칙을 구독할 경우, 판매자가 설정한 관리형 규칙 요금이 부과됩니다.
- AWS WAF의 요금은 변경되지 않았습니다.
AWS WAF의 신규 기능을 통해 좀 더 안전한 웹 애플리케이션 개발이 되시기 바랍니다.