Signal Sciences WAF를 NGINX Plus에 통합

Signal Sciences와 NGINX Plus는 모두 현대적인 환경에 특화되어 있으며, NGINX팀은 Signal Sciences Certified Module for NGINX Plus의 출시를 기쁘게 생각합니다. Signal Sciences는 NGINX Plus 플랫폼에 현대적인 웹 및 API 보안 기능을 제공하여 기업이 오래된 레거시 WAF 및 로드 밸런서(F5 Advanced WAF 및 F5 BIG-IP 등)를 대체하는 데 도움이 되는 통합 솔루션을 제공합니다.

DevOps, 마이크로서비스, 하이브리드 및 멀티 클라우드는 애플리케이션 배포에 대한 현대적인 접근 방식을 채택하는 기업의 성장을 촉진하고 있습니다. 이러한 주요 동력은 웹 애플리케이션 방화벽(WAF) 및 로드 밸런서와 같은 하드웨어 기반 기술(물리적 및 가상)의 단점을 드러내기도 했습니다.

NGINX Open Source와 NGINX Plus는 세계에서 가장 혁신적인 기업들에게 신뢰받는 솔루션으로, 애플리케이션과 웹사이트의 높은 성능을 리소스 효율적인 방식으로 제공합니다. NGINX Plus용 인증 모듈은 NGINX Plus의 확장성을 활용하여 동적으로 로드할 수 있는 모듈입니다. 이러한 모듈은 배포의 용이성, 향상된 통합 및 우수한 성능으로 고객들에게 이점을 제공합니다.

목차

1. 차세대 Signal Sciences WAF가 필요한 이유는?
1-1. 필요에 따른 확장성
1-2. 성능 저하 없이 보호
1-3. 위협 범위
2. Signal Sciences와 NGINX Plus
3. Signal Sciences 설치
3-1. Ubuntu 18.0
3-2. Debian 9
3-3. CentOS 7.0
4. Signal Sciences 결론
5. 추가 자료

1. 차세대 Signal Sciences WAF가 필요한 이유는?

Signal Sciences의 차세대 WAF는 레거시 어플라이언스 기반 WAF 솔루션에 비해 다음과 같은 이점을 제공하여 애플리케이션 및 API에 대한 탁월한 보호 기능을 제공합니다.

1-1. 필요에 따른 확장성

최신 애플리케이션과 API는 다양한 스택과 클라우드에서 실행되며 필요에 따라 확장 및 축소해야 합니다. 이러한 다양한 환경을 보호하기 위해서는 새로운 인스턴스 및 규칙 세트를 구성하고 배포하는 레거시 WAF와 같은 부담을 더하지 않으면서 어디에서나 실행할 수 있는 탄력적인 기술이 필요합니다. Signal Sciences는 NGINX Plus 인스턴스가 실행되는 모든 위치에 배포하여 구조적으로나 운영적으로 원활하게 확장할 수 있습니다. 확장이 크게 간소화되어 팀에서 개 앱을 배포하거나 기존 앱을 업데이트할 때 새 규칙을 작성할 필요가 없습니다.

NGINX의 SmartParse 기능은 요청을 구문 분석하고 데이터 과학을 사용하여 시계열 분석, 트래픽 소스 및 기타 신호를 기반으로 정확한 결정을 내리는 방식으로 동적 감지를 수행합니다. 이것이 Signal Sciences의 고객 95%가 모든 공격 유형에 대해 완전한 차단 모드로 실행할 수 있다고 신뢰하는 이유입니다.

1-2. 성능 저하 없이 보호

Signal Sciences는 추가 네트워크 홉(hop)을 필요로 하지 않고 NGINX Plus가 실행되는 위치에 가벼운 소프트웨어 에이전트를 실행합니다. 운영 메트릭 대시보드에서는 WAF가 평균적으로 1~2밀리초(ms)의 미미한 지연만을 추가가한다는 것을 보여줍니다. Signal Sciences WAF는 슈퍼볼, 2016년 미국 대통령 선거, 그리고 많은 소매업체의 블랙 프라이데이와 같은 대규모 이벤트에서 웹사이트를 보호했습니다.

현재 Cloud Engine 서비스는 매주 2,000억 건 이상의 웹 요청을 처리하며 수만 개의 사이트를 지원합니다. NGINX의 성능과 결합하여 사용되는데, 이는 세계에서 가장 많은 인기 있는 웹사이트 100만 개 중에서 다른 서버보다 더 큰 비중을 차지하고 있습니다. 우리의 합작 제품은 대규모 웹사이트에서 선택하는 기술이며, 마이크로서비스와 같이 복잡한 아키텍처에서, 그리고 우수한 사용자 경험이 최우선인 환경에서 사용됩니다.

1-3. 위협 범위

OWASP Foundation에서 분류한 SQL Injection(SQLi) 및 크로스 사이트 스크립팅(XSS)과 같은 일반적인 공격은 어떤 WAF에서도 반드시 보호해야 하는 기본 사항입니다. 그러나 정규식 규칙을 사용하는 기존 WAF에서는 이러한 일반적인 공격 유형이 오탐의 주요 원인입니다. 잘못된 오탐이 너무 많기 때문에 팀은 규칙을 차단 모드로 전환하여 애플리케이션을 노출된 상태로 두는 데 어려움을 겪습니다. 앞서 언급했듯이, Signal Sciences의 고객 중 95%는 차단 모드에서 실행되므로 이러한 기본적인 공격으로부터 더욱 향상된 보호를 받을 수 있습니다.

Power Rules 플랫폼은 고급 탐지 기능을 제공합니다. Power Rules를 사용하면 간단한 사용자 인터페이스로 사용자 정의 논리를 구축하여 애플리케이션의 비즈니스 논리에 대한 위협을 표면화할 수 있습니다. Signal Sciences를 사용하면 가상 패치를 통해 계정 탈취 및 자격 증명 스터핑, 악성 봇 및 CVE 악용으로부터 보호할 수 있습니다.

2. Signal Sciences 와 NGINX Plus

NGINX Plus를 로드 밸런서, API Gateway 및 콘텐츠 개시로 활용하고 Signal Sciences의 고급 웹 애플리케이션 보안 기능을 결합함으로써, 고객은 상당한 비용 절감과 민첩성을 향상할 수 있습니다. Signal Sciences에서 미세 조정할 ModSecurity 규칙이 없으므로 WAF를 관리하기 위해 전용 인력이 필요하지 않습니다. NGINX Plus 및 Signal Sciences 구성에는 몇 분이 걸리지만 다른 제품의 경우 4~6주가 소요됩니다.

이 인증된 동적 모듈을 사용하면 NGINX Plus 고객은 더 이상 NGINX Plus Lua 동적 모듈을 로드하거나 Signal Sciences에서 제공하는 Lua 코드를 환경에 통합할 필요가 없습니다. 이러한 요구사항은 Signal Sciences Lua 코드가 특정 버전의 Lua에 의존하고 구성을 위해 추가 단계가 필요하므로 운영 및 성능 부담을 초래했습니다. Certified Module은 NGINX Plus를 Signal Sciences와 통합하려는 사용자에게 매우 편리한 사용자 경험을 제공합니다.

NGINX 자체 WAF 솔루션인 NGINX ModSecurity WAF는 ModSecurity를 기반으로 하는 NGINX Plus용 동적 모듈로 기본 사이트 보호 및 규제 또는 규정 준수 사용 사례에 적합합니다. Signal Sciences WAF는 OWASP Top 10 보안 위험 이상의 애플리케이션을 보호하는 보다 포괄적이고 고성능인 옵션입니다.

[참고 – NGINX ModSecurity WAF는 공식적으로 2022년 4월 1일자로 판매가 종료되었으며 2024년 3월 31일부로 수명 종료로 전환됩니다.]

3. Signal Sciences 설치

Signal Sciences는 모듈과 에이전트를 포함하는 특허 받은 두 부분으로 된 소프트웨어 설치를 보유하고 있습니다. NGINX Plus 인증 모듈을 설치하기 전에 지침에 따라 에이전트를 설치하십시오.

인증된 모듈 패키지 이름은 NGINX 오픈 소스 버전 번호를 사용합니다. 예를 들어 다음 명령에서 1.15.7은 NGINX Plus R17에 해당합니다.

다음은 몇 가지 운영체제에 대한 샘플 설치 명령 예시입니다.

3-1. Ubuntu 18.0

$ dpkg -i ./artifacts/ubuntu/bionic/nginx-module-sigsci-nxp_1.15.7-0-bionic_amd64.deb

또는

$ wget -qO - https://apt.signalsciences.net/gpg.key | apt-key add -
 
$ echo "deb https://apt.signalsciences.net/release/ubuntu/ bionic main" | tee /etc/apt/sources.list.d/sigsci-release.list && apt-get update
 
$ apt-get install nginx-module-sigsci-nxp

3-2. Debian 9

$ dpkg -i ./artifacts/debian/stretch/nginx-module-sigsci-nxp_1.15.7-0-stretch_amd64.deb

3-3. CentOS 7.0

$ yum install -y ./artifacts/centos/el7/nginx-module-sigsci-nxp-1.15.7-0.el7.x86_64.rpm

4. Signal Sciences 결론

NGINX 파트너 네트워크의 구성원으로서 Signal Sciences는 NGINX팀과 더욱 긴밀하게 협력할 것입니다. NGINX Plus 및 Signal Sciences에 대한 향후 블로그 및 정보를 확인하십시오!

5. 추가 자료

Signal Sciences 인증 모듈 설치 지침

NGINX Plus를 직접 사용해 보시려면 30일 무료 평가판을 신청하거나 NGINX STORE에 연락하여 문의하십시오.

사용 사례에 대해 최신 소식을 빠르게 전달받고 싶으시면 아래 뉴스레터를 구독하세요.