NGINX App Protect, 모던 애플리케이션을 위한 모던 솔루션

NGINX App Protect 는 F5 Advanced 웹방화벽(WAF) 기술의 효율성과 NGINX의 민첩성 및 성능을 결합한 애플리케이션 보안 솔루션입니다. 모던 애플리케이션의 ‘단 한 번 구축해 어디서나 실행(build once, run anywhere)‘할 수 있는 편리성과 마찬가지로, NGINX App Protect의 자동화는 보안 정책을 ‘단 한 번 구축해, 어디서나 준수‘할 수 있도록 합니다.

경량의 모던 솔루션은 팀 간의 충돌을 줄이고 시간과 비용을 절약하며 어디서나 보안 모범 사례를 준수하고 있다는 사실에 안심할 수 있도록 합니다. 이를 통해 기업들은 DevOps와 SecOps 모두를 효과적으로 조화롭게 운영할 수 있으며, 보안을 저하시키지 않으면서 신속하게 애플리케이션을 출시할 수 있습니다.

목차

1. 애플리케이션 중심 보안
2. 모던 애플리케이션을 위한 NGINX App Protect 설계
3. CI/CD에 최적화된 NGINX App Protect
4. NGINX App Protect 사용 사례
5. 결론

1. 애플리케이션 중심 보안

NGINX App Protect 의 보안 제어 기능들은 F5의 Advanced WAF 기술에 기반하여, 기타 커뮤니티 지원 솔루션보다 훨씬 우수합니다. 포괄적인 웹방화벽(WAF) 공격 시그니처 세트는 광범위한 현장 테스트와 검증을 거쳤으며, 새로운 위반 모델은 오탐(false positives)을 거의 생성하지 않습니다. NGINX App Protect는 OWASP Top 10 웹 애플리케이션 보안 위험으로부터 보호하고, 프로토콜을 준수하도록 하며, 일반적인 회피 기법에 맞서 방어합니다. 또한, 거부 리스트(denylisting)를 제공하고, 쿠키를 검사하며, API를 보호하는 것은 물론, Data Guard를 이용해 민감한 데이터의 유출을 방지합니다.

NGINX App Protect 는 다음과 같은 멀티 환경을 지원합니다.

1. 클라우드
   • Amazon Web Services (AWS)
   • Google Cloud Platform (GCP)
   • Microsoft Azure
   • VMware
2. 컨테이너
   • Docker
   • Kubernetes
   • OpenShift
3. CPU
   • ARM (64 비트)
   • PowerPC (64 비트)
   • x86 (64 비트)
4. 운영 체제(OS)
   • CentOS
   • Debian
   • Ubuntu

2. 모던 애플리케이션을 위한 NGINX App Protect 설계

강력한 보안 제어 기능들이 애플리케이션의 운영 환경에서 구현될 수 없다면, 이를 배포할 이유가 없습니다. NGINX App Protect 가 NGINX Plus를 위한 공통 배포 모드와 같은 모던 애플리케이션 배포 토폴로지를 지원하도록 설계된 이유도 바로 이 때문입니다. 여기에는 로드 밸런서, API Gateway, Kubernetes Pods용 Ingress Controller, 마이크로서비스용 Per-Pod Proxy 등이 포함되어 있습니다. 이는 현대의 환경을 위해 설계된 보안과 그 속에서 성장하기 위해 필요한 도구라고 할 수 있습니다.

3. CI/CD에 최적화된 NGINX App Protect

많은 기업들은 보안 업무를 개발 초기에 통합하기를 원합니다. 하지만, 이는 결코 말처럼 쉬운 것이 아닙니다. 보안 팀의 65%는 ‘시프트 레프트(shift left)하고 있다’라고 응답했지만, 이를 증명할 수 있는 경우는 1/5도 되지 않습니다.

게다가 거의 절반의 기업들이 시간 압박 때문에 코드가 취약하다는 것을 알면서도 프로덕션에 푸시하고 있다는 사실을 인정하고 있습니다. 이처럼 보안 수준을 낮추는 것은 많은 경우, 전통적인 보안 프로세스의 느리고 파괴적인 특성에 기인하고 있습니다.

예를 들어 정적 애플리케이션 보안 테스트(Static Application Security Testing, SAST)와 소프트웨어 구성 분석(Software Composition Analysis, SCA)은 개발 초기에 보안 결함을 찾아내는 데 효과적일 수 있지만, 애플리케이션이 출시될 때까지 취약성이 발견되지 않는다면 어떻게 될까요? 애플리케이션을 개발 단계로 되돌려 보내면 비용이 증가하고 생산성이 손상될 뿐만 아니라, DevOps팀과 SecOps팀 사이에 마찰도 발생합니다.

48%의 기술 전문가들은 보안이 소프트웨어를 신속하게 제공할 수 있는 능력에 큰 제약이 된다고 믿고 있습니다. NGINX App Protect 는 이러한 갈등을 해결하도록 지원합니다. 이는 마찰을 제거하고 안전한 배포를 가속화하기 위해 공통 개발 파이프라인에 통합되며, 선언형 구성 기능을 통해 보안이 DevOps CI/CD 자동화의 일부가 되어 애플리케이션 기능 사양의 다른 부분과 마찬가지로 테스트를 받게 됩니다.
본질적으로 보안 정책과 구성은 소스 코드 저장소에서 가져온 “코드(Code)”로서 사용됩니다. SecOps팀은 보안 정책을 만들고 유지함으로써 비즈니스를 보호하는 데 필요한 제어 체계가 제대로 갖춰져 있는지 확인합니다.

4. NGINX App Protect 사용 사례

타이어, 휠 및 타이어 장착 서비스를 제공하는 선도적인 멀티 채널 공급업체인 reifen.com은 매우 특수한 문제에 직면했습니다.
인증기관 TUV는 신뢰할 수 있고 안전한 온라인 소매업체로서 최고의 규제 준수 등급을 획득하기 위해 웹 방화벽(WAF)을 설치하도록 요구했습니다. TUV 인증은 소비자들에게 중요하게 받아들여지고 있기 때문에, 이는 필수적인 우선 과제가 됐습니다.

reifen.com은 이미 몇년 동안 NGINX 웹 서버를 사용해 고성능 콘텐츠를 제공하고 있으며, 처음에는 TUV 규제 준수 요건을 충족하는 솔루션으로서, 구 Modsecurity를 포함한 NGINX Plus를 검토했습니다. 하지만 F5와 NGINX팀과 논의한 다음, NGINX App Protect를 선택했습니다. 이와 같은 결정을 내리게 된 것은 NGINX App Protect 의 탁월한 성능 수준은 물론, 향후 API 공격과 같이 더욱 확산될 가능성이 높은 공격 벡터에 대응할 수 있는 능력을 높이 평가했기 때문입니다.

Reifen.com의 e커머스 컨설턴트인 사샤 페트란카(Sascha Petranka)는

“최고의 성능, 가장 장기적으로 효과를 발휘하는 솔루션 그리고, NGINX의 통합 전문지식 등을 제공했기 때문에 App Protect를 사용하기로 결정했습니다.”

라며, “비용은 Modsecurity보다 조금 더 높았지만, 확실히 추천할 만한 선택이었습니다.”고 강조했습니다.

NGINX App Protect는 reifen.com가 새로운 규제 준수 요건을 충족하고 TUV 인증을
획득할 수 있도록 했을 뿐만 아니라, 성과에 대한 가시성을 확보하고, 문제를 더욱 빨리 파악하며,
보다 민첩하게 경쟁사에 대응할 수 있도록 지원했습니다.

5. 결론

NGINX App Protect 는 새로운 애플리케이션 아키텍처와 애자일 방식에 많은 투자를 한 기업들이 ROI를 향상시키는 동시에, 애플리케이션들이 안전하고 최고의 성능을 발휘할 수 있도록 합니다.

개발 파이프라인에 통합함으로써 DevOps의 프로세스와 충돌하지 않고 조화롭게 작동함으로써 애플리케이션을 신속하게 배포하고 적절하게 보호할 수 있습니다. 애플리케이션 보안과 규제 준수를 간소화하고 고성능을 발휘하면서도 오탐율을 극히 낮춤으로써, 그 어느 때보다 치열하게 경쟁하는 온라인 비즈니스 세계에서 안심할 수 있는 환경을 구현할 수 있습니다.

지금 바로 NGINX App Protect를 시작해보세요. 또는 사용 사례에 대해 NGINX STORE에 문의를 하여 답변을 받아보세요.

아래 뉴스레터를 구독하고 NGINX와 NGINX STORE의 최신 정보들을 빠르게 전달 받아보세요.