MSA 트레이닝 센터
NGINX Plus API Gateway 에 WAF를 통합
NGINX Plus API Gateway 는 API 트래픽의 제어 지점이므로 이 유형의 트래픽에 대해 대부분의 보안 적용을 시행해야 하는 곳입니다. OWASP API Security Top 10 보안 취약점을 기반으로 모두 불충분한 조치 또는 너무 늦게 취해진 조치의 결과를 나타냅니다. 앞서 나가기 위해 회사는 개발 수명 주기의 일부로 애플리케이션 보안을 왼쪽으로 이동하고 있습니다.
이 트레이닝 영상에서는 NGINX App Protect WAF를 사용한 간단한 구성 단계가 API 인프라를 보호하기 위해 보안 수준을 높이는 데 어떻게 도움이 되는지 보여줍니다.
NGINX Plus API Gateway 에 WAF를 통합
NGINX Plus는 고성능 API Gateway 기능을 제공하며, NGINX App Protect WAF를 통합하여 웹 애플리케이션과 API를 다양한 위협으로부터 보호할 수 있습니다. 이 가이드에서는 NGINX Plus API Gateway에 NGINX App Protect WAF를 설치하고 구성하는 방법을 단계별로 설명합니다.
사전 준비
요구 사항
- NGINX Plus 라이선스: 유효한 NGINX Plus 라이선스가 필요합니다.
- NGINX App Protect WAF 라이선스: NGINX App Protect WAF는 추가 비용이 발생하며, NGINX Plus 구독에 추가해야 합니다.
- 운영 체제: 지원되는 Linux 배포판 (예: Ubuntu, CentOS, RHEL 등)
- 루트 권한: 설치 및 구성 작업을 수행하기 위한 관리자 권한
필수 패키지 설치
NGINX App Protect WAF 설치 전에 필요한 패키지를 설치합니다.
sudo apt-get update
sudo apt-get install -y curl gnupg2 ca-certificates lsb-release
NGINX Plus 및 NGINX App Protect WAF 설치
NGINX Plus 설치
1. NGINX 저장소 인증서 및 키 설정:
NGINX Plus 패키지를 다운로드하려면 인증서와 키를 설정해야 합니다.
sudo mkdir -p /etc/ssl/nginx
sudo cp nginx-repo.crt /etc/ssl/nginx/
sudo cp nginx-repo.key /etc/ssl/nginx/
2. NGINX Plus 저장소 설정:
NGINX Plus 패키지를 다운로드할 수 있도록 저장소를 추가합니다.
echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] https://pkgs.nginx.com/plus/ubuntu `lsb_release -cs` nginx-plus" | sudo tee /etc/apt/sources.list.d/nginx-plus.list
3. 패키지 목록 업데이트 및 NGINX Plus 설치:
저장소를 추가한 후 패키지 목록을 업데이트하고 NGINX Plus를 설치합니다.
sudo apt-get update
sudo apt-get install -y nginx-plus
NGINX App Protect WAF 설치
1. NGINX App Protect WAF 저장소 추가:
NGINX App Protect WAF 패키지를 다운로드할 수 있도록 저장소를 추가합니다.
echo "deb [signed-by=/usr/share/keyrings/nginx-archive-keyring.gpg] https://pkgs.nginx.com/app-protect/ubuntu `lsb_release -cs` nginx-plus" | sudo tee /etc/apt/sources.list.d/nginx-app-protect.list
2. 패키지 목록 업데이트 및 NGINX App Protect WAF 설치:
저장소를 추가한 후 패키지 목록을 업데이트하고 NGINX App Protect WAF를 설치합니다.
sudo apt-get update
sudo apt-get install -y app-protect
NGINX App Protect WAF 구성
1. NGINX 구성 파일 수정:
NGINX App Protect WAF 모듈을 로드하고, Enforcer 주소를 설정하며, 필요한 위치에서 WAF를 활성화합니다.
load_module modules/ngx_app_protect_module.so;
http {
app_protect_enable on;
app_protect_policy_file "/etc/nginx/app_protect/policies/default.json";
app_protect_security_log_enable on;
app_protect_security_log "/etc/nginx/app_protect/log/default.json" syslog:server=127.0.0.1:514;
server {
listen 80;
server_name example.com;
location / {
proxy_pass http://backend;
app_protect_enable on;
}
}
}
load_module: NGINX App Protect WAF 모듈을 로드합니다.app_protect_enable: WAF를 활성화합니다.app_protect_policy_file: 사용할 보안 정책 파일을 지정합니다.app_protect_security_log_enable: 보안 로그를 활성화합니다.app_protect_security_log: 보안 로그 설정을 지정합니다.
2. NGINX 구성 테스트 및 재시작:
구성 파일에 오류가 없는지 확인한 후 NGINX를 재시작합니다.
sudo nginx -t
sudo systemctl restart nginx
정책 및 로그 구성
1. 보안 정책 설정:
NGINX App Protect WAF는 JSON 형식의 정책 파일을 사용합니다. 기본 정책을 수정하거나 새로운 정책을 생성하여 /etc/nginx/app_protect/policies/ 디렉토리에 저장합니다.
2. 보안 로그 설정:
보안 로그 프로필을 JSON 형식으로 작성하여 /etc/nginx/app_protect/log/ 디렉토리에 저장합니다.
NGINX Plus API Gateway 모니터링 및 유지 관리
- 로그 모니터링: NGINX App Protect WAF의 보안 로그를 정기적으로 검토하여 잠재적인 위협을 식별합니다.
- 정책 업데이트: 최신 보안 위협에 대응하기 위해 보안 정책을 주기적으로 업데이트합니다.
- 시스템 업데이트: NGINX Plus와 NGINX App Protect WAF의 최신 버전을 적용하여 보안 패치와 기능 개선을 반영합니다.
NGINX Plus API Gateway WAF 통합 결론
이 가이드를 통해 NGINX Plus API Gateway에 NGINX App Protect WAF를 통합하여 웹 애플리케이션과 API를 효과적으로 보호할 수 있습니다. 정기적인 모니터링과 업데이트를 통해 보안 상태를 지속적으로 유지하시기 바랍니다.
NGINX App Protect WAF 도입을 고민 중이시라면 NGINX STORE에 문의하여 사용 사례에 대해 상담 받아보세요.
댓글을 달려면 로그인해야 합니다.