%EB%A1%9C%20WAF(%EC%9B%B9%20%EC%95%A0%ED%94%8C%EB%A6%AC%EC%BC%80%EC%9D%B4%EC%85%98%20%EB%B0%A9%ED%99%94%EB%B2%BD)%EB%A5%BC%20%EA%B0%95%ED%99%94%ED%95%98%EB%8A%94%20%EA%B2%83%EC%9D%B4%20%ED%95%A9%EB%A6%AC%EC%A0%81%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
다음 시나리오:
- 웹 애플리케이션, HTTP/S 트래픽만
- 포트 80/443의 트래픽만 허용하는 방화벽이 마련되어 있습니다.
- WAF가 설치되어 있으며 악성 트래픽을 거부하도록 설정되어 있습니다.
질문: 이 시나리오에 IPS/심층 패키지 검사 솔루션도 설치하면 추가되는 가치가 있습니까? 내가 이해한 바에 의하면: 아니요. 하지만 거기서는 명확한 답을 찾지 못했습니다.
답변1
질문: 이 시나리오에 IPS/심층 패키지 검사 솔루션도 설치하면 추가되는 가치가 있습니까? 내가 이해한 바에 의하면: 아니요. 하지만 거기서는 명확한 답을 찾지 못했습니다.
질문에 답하기 위해 먼저 핵심 용어 "가치"를 풀어보겠습니다. 여기서 우리가 하고 있는 일은 "보안 통제의 가치는 무엇인가?"를 묻는 것입니다.
위험을 관리하기 위해 보안 제어(WAF, IPS, 기술 보안 제어의 예인 SPI 방화벽)가 마련됩니다. 통제력이 없어 시간이 지남에 따라 예상되는 손실보다 비용이 더 많이 드는 보안 통제 수단은 일반적으로 마련되지 않으며, 시간이 지남에 따라 예상되는 손실보다 비용이 적게 드는 보안 통제 수단은 마련됩니다.
방화벽이 하나의 포트로 제한되고 WAF가 설치되어 있는 경우 IPS를 설치하는 것이 가치가 있는지 여부는 실제로 다음과 같은 질문을 던집니다. 현재 모든 설정 방법에 따른 예상 손실에서 IPS 설치 후 예상 손실을 뺀 것입니까? IPS 비용보다 더 많은 비용이 소요되었습니다. 그렇다면 대답은 yes없다값IPS를 설치하는 데 드는 비용은 그것이 제공하는 이점보다 크기 때문입니다. 이는 실제 위험 관리 프로세스의 예입니다.
이 특별한 상황에 관해서는 질문에 확실히 답할 수 있는 정보가 충분하지 않습니다. 주어진 기술적인 대답은 그렇게 하지 않을 것입니다. 광범위한 정보를 모두 가지고 있더라도 사람들이 위험을 계산하는 방법에는 "수행 방법"을 제공하는 것 외에는 아무것도 할 수 없으며 아마도 가장 긴 Serverfault 답변이 있을 정도로 충분히 다양합니다. :-)
그러나 일반적으로 다음은 IPS(간단히 설명하기 위해 HIPS와 NIPS를 통합함)가 기존 솔루션과 함께 구현될 때 가치를 창출할 수 있는 영역입니다.
- 기능이 교차되는 경우 방화벽이나 WAF가 잘못 구성되거나 손상된 경우 보조 제어로 위협을 포착하지 않거나 다른 방법으로 위협을 탐지하여 탐지 회피 기술 탐지 가능성을 높입니다.
- IPS가 아직 제공되지 않은 추가 보호를 제공하는 경우. 이는 제품 및 구현에 따라 다르지만 다음과 같은 내용이 포함될 수 있습니다.
- 알려진 악성 IP 주소 차단
- 이벤트 상관관계에 따른 차단 - 예. HTTP 요청을 보내기 전에 포트 스캐닝을 하는 것으로 확인된 IP
- 비인가 프로세스에 의한 파일 수정 방지/탐지
- 많은 다른 사람
- 가시성을 높이기 위해. IPS는 웹 트래픽뿐만 아니라 환경에서 일어나는 일을 훨씬 더 많이 관찰하므로 일반적으로 위협 환경에 대한 더 많은 가시성을 제공할 수 있습니다.
요약하자면, IPS의 가치 여부는 위험에 따라 달라집니다. 이 시나리오에서 IPS가 중복성만 제공하고 추가 기능은 제공하지 않더라도 "벨트 및 버팀대" 접근 방식을 선택하는 시나리오가 확실히 있습니다. 개인 웹사이트를 보호한다면 아마도 그만한 가치가 없을 것입니다. 수십억 달러 상당의 지적 재산을 보호한다면 가치가 더 높을 것입니다.
답변2
방화벽을 올바르게 설정했다면 패킷 검사를 사용할 필요가 없습니다. 그러나 최소한의 서비스를 제공하는 단순 서버가 하나만 있어도 IPS/IDS 및 무결성 검사가 필요합니다.
다음 상황을 고려하십시오.
- WAF에 대한 알 수 없는 공격 방법/시그니처가 있는 경우 실제로 WAF는 그러한 종류의 위협(특히 제로 데이 취약점)에 대해 쓸모가 없습니다. 이 상황에서는 사용자 활동을 모니터링하고 시스템 무결성을 확인하는 것이 현명한 조치입니다. 감사 도구를 사용하면 의심스러운(알려지지 않은) 위협에 도움과 경고를 줄 수 있습니다. 그러나 더 많은 리소스, 맞춤형 감사 규칙 및 지속적인 확인이 필요합니다.
- WAF를 우회하는 것은 상상이 아닙니다. 이 경우 IPS/IDS 또는 기타 검색 메커니즘은 두 번째 방어 계층으로 보안 수준을 높입니다. WAF가 실패하더라도.
설정에 대한 우려가 있지만 복잡하거나 값비싼 솔루션을 사용하고 싶지 않은 경우 다음을 수행할 수 있습니다.결합하다다음과 같은 매우 기본적인 도구"iptables"사용자 정의 규칙"SE리눅스"그리고"보좌관"더욱 강력한 보안 계획을 위해
답변3
인터넷 트래픽을 보호하기 위해 DMZ에 WAF를 설정할 수 있습니다. 또한 IDS/IPS와 DPI를 내부 네트워크에서 활성 또는 수동(인라인 여부)으로 사용할 수 있습니다.