NGINX WAF 로 오픈소스 취약점 개선

보안에 대한 전반적인 솔루션은 복잡할 수 있지만 퍼즐의 가장 중요한 부분은 WAF (Web Application Firewall)입니다. NGINX App Protect WAF 가 어떤 개선 방법을 제공할까요?

오늘날 보안은 웹 애플리케이션의 개발, 배포 및 제공에서 중요한 부분에 되었습니다.
경쟁력을 유지하기 위해 대부분의 회사들은 점점 더 빠른 속도로 애플리케이션을 제공합니다. 끊임없는 변화 과정에서 민첩성을 유지하기 위해 새로운 기술과 방법론을 채택합니다.
최신 오픈소스 도구, 구성 요소 및 애플리케이션 스택을 포함한 다양한 기술들을 채택합니다.
이러한 속도 덕분에 고객이 애플리케이션에서 원하고 필요로 하는 것을 제공할 수 있지만 빠른 속도의 혁신에는 어떠한 위험이 있을까요?

목차

1. 오픈소스 취약점의 부상
2. NGINX App Protect WAF 가 오픈소스 소프트웨어 보안을 지원하는 방법

1. 오픈소스 취약점의 부상

실리콘밸리에 위치한 취약성 관리 회사인 RiskSense (ivanti에 인수됨)는 “The Dark Reality of Open Source“이라는 제목의 연구를 발표했습니다.
이 연구의 목표는 오픈소스 제품으로부터 애플리케이션 보안에 대한 위협을 식별하는 것이었습니다.
놀랍게도, 2018년부터 2019년까지 오픈소스 소프트웨어의 공통 취약성 및 노출(CVE) 수는 421개에서 968개로 130% 증가했습니다.
게다가, 취약점이 공개된 후 국가 취약성 데이터베이스에 추가되기까지 평균 54일이 걸렸으며, 이는 소프트웨어를 사용하는 조직이 “거의 2개월 동안 심각한 애플리케이션 보안 위험에 노출되었다”는 의미였습니다.

최근 몇 년 동안 오픈 소스 소프트웨어 취약성은 Apache Struts Exploit (CVE-2017-5638) 과 같은 많은 주요 데이터 유출의 원인이었습니다. 이 익스플로잇을 통해 공격자는 OGNL(Object‑Graph Navigation Language) 이 포함된 특정 HTTP 요청 데이터를 전달할 수 있었습니다. 이를 통해 Java 내에서 속성을 읽고 설정할 수 있을 뿐만 아니라 메서드를 실행할 수 있습니다. 이를 통해 공격자는 RCE(Remote Code Execution, 원격 코드 실행) 공격을 수행할 수 있었고 2017년에는 Equifax에서 1억 4,300만 개 이상의 계정이 유출되었습니다. 오픈소스 환경의 수많은 취약점을 고려할 때 이러한 악의적인 공격으로부터 사용자, 네트워크, 가장 중요한 데이터를 어떻게 보호해야 할까요?

2. NGINX App Protect WAF 가 오픈소스 소프트웨어 보안을 지원하는 방법

보안에 대한 전반적인 해결책은 복잡할 수 있지만, 퍼즐의 가장 중요한 조각은 웹 애플리케이션 방화벽(WAF)입니다. WAF는 악성 HTTP/S 트래픽을 필터링, 모니터링하고 차단하여 웹 애플리케이션을 보호하며, 무단 데이터 유출을 방지합니다. 이를 위해 일련의 정책을 준수하여 어떤 트래픽이 악성인지, 어떤 트래픽이 안전한지를 판단합니다. 다른 보안 전략과 마찬가지로, 깊은 방어(Defense in Depth)가 필요합니다. WAF는 모든 공격을 차단하지는 않습니다. 패치를 적용하고 지원되는 버전을 유지함으로써 제로데이 공격을 완화할 수 있습니다.

또 다른 예시를 살펴보겠습니다. OWASP (Open Web Application Security Project)에 따르면, 웹 애플리케이션에 가장 일반적이고 악성적인 공격 중 하나는 SQL Injection입니다. 공격자는 웹 애플리케이션 내부에서 악성 SQL 문을 실행하여 데이터베이스에서 민감한 데이터를 노출시킵니다. 이 공격은 너무 흔해서 OWASP Top 10 공격 목록에서 1위를 차지했습니다.

여기 NGINX에서는 사용자에게 보안이 얼마나 중요한지 잘 알고 있습니다. NGINX App Protect WAF 를 만들 때 NGINX의 강력한 아키텍처를 활용하여 보안 목표를 달성하는데 도움을 주었습니다. NGINX App Protect WAF 는 최신 고성능의 안정적인 애플리케이션 보안 솔루션입니다. 시장을 선도하는 F5의 WAF를 기반으로 한 디자인을 갖춘 이 제품은 기본적으로 NGINX Plus 위에서 실행되며 보안 제어를 애플리케이션에 직접 통합합니다. NGINX App Protect WAF 를 개발할 때 이전 NGINX 제품과 동일한 철학을 유지하여 성능, 확장성 및 경량 아키텍처에 중점을 두었습니다.

NGINX App Protect는 애플리케이션 가까이에 위치하도록 설계된 모던 WAF로, 경계 WAF 이상의 추가 보호 기능을 제공합니다. DevOps 및 CI/CD 프레임워크에 완전히 통합되어 다음을 수행할 수 있습니다.

• 강력한 보안 제어를 NGINX Plus와 원활하게 통합할 수 있습니다.
• 향상된 사용자 경험을 위해 다른 WAF를 능가합니다.
• 최신 앱을 제공하면서 복잡성과 도구 Sprawl을 줄입니다.

NGINX App Protect WAF 가 애플리케이션을 보호하여 제품 및 솔루션의 수명 주기와 혁신에 집중할 수 있도록 하십시오. 무료 평가판을 요청하려면 NGINX STORE에게 연락하십시오 . 또한 NGINX 오픈소스를 실행 중인 경우 고객에게 먼저 릴리스된 CVE 패치에 대한 추가 제로 데이 보호를 위해 NGINX Plus로 이동하는 것을 고려하십시오.