WAF
방화벽 및 IDS가 차단하지 못한 HTTP/HTTPS 공격으로부터 웹애플리케이션을 보호하는 서비스
OWASP Open Web Application Security Project
가장 큰 웹 애플리케이션 보안 온라인 커뮤니티
웹에 관한 정보노출, 악성 파일 및 스크립트, 취약점들을 연구
OWASP 10대 주요 취약점
취약한 접근제어, 암호화실패, 인젝션, 안전하지않은 설계, 보안 설정 오류, 취약하고 오래된 컴포넌트 사용, 식별 및 인증 실패, 공격 방어 취약점, 소프트웨어와 데이터 무결성 실패, 보안로깅 및 모니터링 실패, 서버 측 요청 위조
인젝션 Injection
사용자가 전달하는 데이터를 신뢰할수없는 데이터로 조작해서 예상치못한 명령을 실행.
id파라미터 조작후 로그인을 시도할 수 있다.
대표적인 공격방법으로는 SQL Injection과 XSS
Cross-Site Scripting XSS
웹애플리케이션에서 일어나는 취약점
관리자가 아닌 권한이 없는 사용자가 웹사이트에 스크립트를 삽입하는 공격기법
웹사이트 변조, 악의적인 사이트로 이동 등의 공격을 수행
WAF Web Application Firewall
지속적인 웹 취약점 공격 유형 패턴 분석과 경보 목록 분석을 통해 안전한 웹서비스 제공
등록된 url 모니터링을 통한 침입탐지 및 대응 및 웹 방화벽 운영수행
SR 절차를 통해 신청 및 이용할 수 있다.
일반적으로 HTTPS 트래픽처리시 HTTP처리때보다 웹서버 성능 감소가 발생한다.
이때 Load Balancer를 통해 HTTPS 트래픽을 처리한다.
전송단계에서 웹트래픽을 처리할수있고, 웹서버 부하를 줄여 서버 비용을 줄일 수 있다.
Load Balancer에서 SSL 인증서를 설정한다.
Load Balancer - LB 서비스신청 - 서비스구분 L7 HTTPS로 선택 - 클라이언트 SSL필수 선택 - 서버 SSL 선택
