Azure Front Door WAF에 대한 제로 트러스트 권장 사항

Front Door의 Azure 웹 애플리케이션 방화벽은 일반적인 악용 및 취약성으로부터 네트워크 에지의 웹 애플리케이션을 보호합니다. 다음 권장 사항은 WAF가 제대로 구성되고 모니터링되는지 확인하는 데 도움이 됩니다.

모든 Azure 네트워크 보안 제로 트러스트 권장 사항에 대한 요약은 Azure 네트워크 보안 제로 트러스트 권장 사항을 참조하세요.

권장 사항

Azure Front Door WAF가 방지 모드에서 사용하도록 설정됨

Azure Front Door WAF(웹 애플리케이션 방화벽)는 네트워크 에지에서 SQL 삽입, 사이트 간 스크립팅 및 기타 OWASP(Open Worldwide Application Security Project) 상위 10개 위협과 같은 일반적인 악용 및 취약성으로부터 웹 애플리케이션을 보호합니다. WAF는 두 가지 모드로 작동합니다. 검색 모드는 들어오는 요청 및 로그 일치를 평가하지만 트래픽을 차단하지는 않지만 방지 모드는 요청을 평가하고 WAF 규칙을 위반하는 악의적인 요청을 적극적으로 차단합니다. 예방 모드에서 WAF를 실행하는 것은 일반적인 웹 공격으로부터 애플리케이션을 적극적으로 보호하는 데 중요합니다. WAF가 검색 모드인 경우 악의적인 트래픽만 기록되고 방지되지 않으므로 애플리케이션이 악용에 노출됩니다.

수정 작업

• Azure Front Door에 대한 WAF 구성
• Azure Front Door의 WAF에 대한 정책 설정

Azure Front Door WAF에서 요청 본문 검사를 사용하도록 설정됨

Azure Front Door WAF(웹 애플리케이션 방화벽)는 일반적인 악용 및 취약성에 대한 웹 애플리케이션에 대한 중앙 집중식 보호를 제공합니다. 요청 본문 검사를 사용하면 WAF가 SQL 삽입, 사이트 간 스크립팅 및 명령 삽입 페이로드를 비롯한 악의적인 패턴에 대한 HTTP POST, PUT 및 PATCH 요청 본문을 분석할 수 있습니다. 요청 본문 검사를 사용하지 않도록 설정하면 위협 행위자가 모든 WAF 규칙 평가를 우회하는 양식 제출, API 호출 또는 파일 업로드 내에 악성 콘텐츠를 포함할 수 있습니다. 이렇게 하면 공격자가 보호되지 않는 엔드포인트를 통해 초기 액세스 권한을 얻고, 백 엔드 데이터베이스에 대해 임의의 명령을 실행하고, 중요한 데이터를 반출하고, 내부 시스템으로 피벗하는 악용에 대한 직접적인 경로가 만들어집니다. OWASP(Open Worldwide Application Security Project) 핵심 규칙 집합 및 Microsoft의 위협 인텔리전스 기반 규칙을 비롯한 WAF의 관리형 규칙 집합은 볼 수 없는 위협을 평가할 수 없으므로 이러한 보호는 일반적인 신체 기반 공격 벡터에 대해 비효율적입니다.

수정 작업

• Azure Front Door의 Azure Web Application Firewall 개요
• 요청 본문 검사 구성을 포함하여 Azure Front Door의 웹 애플리케이션 방화벽에 대한 정책 설정
• Azure Front Door용 Azure 웹 애플리케이션 방화벽 튜닝

기본 규칙 집합이 Azure Front Door WAF에 할당됨

Azure Front Door WAF(웹 애플리케이션 방화벽)는 알려진 공격 패턴에 대한 미리 구성된 검색 서명이 포함된 관리되는 규칙 집합을 통해 전역적으로 분산된 웹 애플리케이션에 대한 에지 기반 보호를 제공합니다. Microsoft 기본 규칙 집합은 보안 전문 지식을 구성하지 않고도 가장 일반적이고 위험한 웹 취약성으로부터 보호하는 지속적으로 업데이트되는 관리 규칙 집합입니다. 관리되는 규칙 집합이 활성화되지 않은 경우 WAF 정책은 알려진 공격 패턴에 대한 보호를 제공하지 않으며 통과로 효과적으로 작동합니다. 위협 행위자가 자동화된 도구 키트를 사용하여 보호되지 않는 애플리케이션을 정기적으로 검색하고 문서화된 취약성을 악용하여 SQL 삽입, 사이트 간 스크립팅, 로컬 파일 포함 및 명령 삽입 공격을 실행합니다. 관리되는 규칙 집합은 악의적인 트래픽이 원본 서버에 도달하기 전에 에지에서 이러한 공격을 감지하고 차단합니다.

수정 작업

• Azure Front Door의 Azure WAF 개요
• Azure Front Door에 대한 WAF DRS 규칙 그룹 및 규칙
• Azure Front Door에서 WAF 정책 만들기

Azure Front Door WAF에서 봇 보호 규칙 집합을 사용하도록 설정하고 할당합니다.

Azure Front Door WAF(웹 애플리케이션 방화벽)는 글로벌 에지 네트워크에서 자동화된 트래픽을 식별하고 분류하는 프리미엄 SKU에서만 사용할 수 있는 Bot Manager 규칙 집합을 통해 봇 보호를 제공합니다. 봇 보호가 없으면 위협 행위자가 자격 증명 스터핑, 웹 스크래핑, 인벤토리 비장 및 애플리케이션 계층 DDoS(분산 서비스 거부) 공격을 비롯한 자동화된 공격을 배포할 수 있습니다. Bot Manager 규칙 집합은 봇을 알려진 좋은 봇, 알려진 잘못된 봇 및 알 수 없는 봇으로 분류하여 보안 팀이 각 범주에 대해 적절한 작업을 구성할 수 있도록 합니다. 잘못된 봇은 CAPTCHA로 차단되거나 도전할 수 있지만 검색 엔진 크롤러와 같은 합법적인 봇은 이를 통해 허용됩니다. 봇 보호가 없으면 조직은 봇 트래픽 패턴에 대한 가시성이 부족하며 사용자와 자동화된 클라이언트를 구분할 수 없습니다.

수정 작업

• Azure Front Door 계층 비교
• Azure Front Door에 대한 WAF 정책 만들기
• Azure Front Door에서 WAF에 대한 봇 보호 구성
• Azure Front Door에서 보안 정책 추가
• Azure Front Door에 설정된 봇 보호 규칙
• Azure Front Door에서 메트릭 및 로그 모니터링

Azure Front Door WAF에서 속도 제한 사용

Azure Front Door WAF(웹 애플리케이션 방화벽)는 클라이언트가 전역 에지 네트워크에서 지정된 기간 내에 수행할 수 있는 요청 수를 제한하는 사용자 지정 규칙을 통해 속도 제한을 지원합니다. 속도 제한 없이 위협 행위자가 인증 엔드포인트에 대한 무차별 암호 대입 공격, 대규모 자격 증명 스터핑, 데이터를 추출하거나 백 엔드 리소스를 사용하는 API 남용 및 엔드포인트를 범람하는 애플리케이션 계층 서비스 거부 공격을 실행할 수 있습니다. 속도 제한 규칙을 사용하면 관리자가 클라이언트 IP 주소별로 요청을 그룹화할 수 있는 기능으로 분당 요청 수에 따라 임계값을 정의할 수 있습니다. 클라이언트가 구성된 임계값을 초과하면 WAF는 후속 요청을 차단하거나, 위반 사항을 로그에 기록하거나, CAPTCHA 질문을 발행하거나, 사용자 지정 페이지로 리디렉션할 수 있습니다. 글로벌 에지에서 속도 제한을 적용하면 원본 서버에 도달하기 전에 악의적인 트래픽이 차단됩니다.

수정 작업

• Azure Front Door의 Azure WAF 개요
• Azure Front Door에 대한 WAF 사용자 지정 규칙
• Azure Front Door에서 WAF 정책 만들기
• Azure Front Door WAF에 대한 속도 제한

Azure Front Door WAF에서 JavaScript 챌린지를 사용하도록 설정됨

Azure Front Door WAF(웹 애플리케이션 방화벽)는 글로벌 에지 네트워크에서 자동화된 봇 및 헤드리스 브라우저에 대한 방어 메커니즘으로 JavaScript 챌린지를 지원합니다. 요청이 챌린지를 트리거하는 경우 WAF는 클라이언트 브라우저가 유효한 챌린지 쿠키를 얻기 위해 실행해야 하는 JavaScript 코드 조각을 제공하며, 요청이 간단한 HTTP 클라이언트 또는 봇이 아닌 실제 브라우저에서 발생했음을 증명합니다. 쿠키가 만료될 때까지 챌린지를 성공적으로 실행한 클라이언트는 정상적으로 진행되며, JavaScript를 실행할 수 없는 봇 및 자동화된 도구는 트래픽이 원본 서버에 도달하기 전에 에지에서 차단됩니다. 이 메커니즘은 간단한 HTTP 라이브러리를 사용하는 자격 증명 스터핑 봇, 웹 스크레이퍼 및 DDoS(분산 서비스 거부) 봇에 대해 효과적입니다. JavaScript 챌린지는 CAPTCHA와 같은 사용자 상호 작용을 요구하지 않고 브라우저 기능을 확인하여 모든 트래픽을 허용하고 의심되는 봇을 완전히 차단하는 중간 지점을 제공합니다.

수정 작업

• Azure Front Door의 Azure WAF 개요
• Azure Front Door에 대한 WAF 사용자 지정 규칙
• Azure Front Door에서 WAF 정책 만들기
• Azure Front Door WAF에 대한 JavaScript 챌린지 구성

CAPTCHA 챌린지는 Azure Front Door WAF에서 사용하도록 설정됩니다.

Azure Front Door WAF(웹 애플리케이션 방화벽)는 글로벌 에지 네트워크에서 정교한 봇 및 자동화된 도구에 대한 방어 메커니즘으로 CAPTCHA 챌린지를 지원합니다. CAPTCHA는 사용자에게 인간의 인지 능력이 필요한 시각적 또는 오디오 퍼즐을 제공하며, 요청이 봇이 아닌 실제 인간에서 비롯되는 것을 증명합니다. CAPTCHA를 성공적으로 완료한 사용자는 만료될 때까지 정상적인 액세스를 허용하는 챌린지 쿠키를 받고 퍼즐을 해결할 수 없는 봇은 에지에서 차단됩니다. CAPTCHA는 인간 수준의 인식이 필요하기 때문에 완전한 JavaScript 지원으로 헤드리스 브라우저를 사용하는 고급 봇에 대한 JavaScript 도전보다 더 효과적입니다. CAPTCHA 챌린지 작업을 사용하여 사용자 지정 규칙을 구성하면 조직은 로그인 페이지, 등록 양식 및 결제 페이지와 같은 매우 중요한 엔드포인트를 자동화된 남용으로부터 보호할 수 있습니다.

수정 작업

• Azure Front Door의 Azure WAF 개요
• Azure Front Door에 대한 WAF 사용자 지정 규칙
• Azure Front Door에서 WAF 정책 만들기
• Azure Front Door WAF에 대한 CAPTCHA 챌린지 구성

Azure Front Door WAF에서 진단 로깅이 활성화되었습니다.

Azure Front Door WAF(웹 애플리케이션 방화벽)는 악의적인 트래픽이 원본 서버에 도달하기 전에 네트워크 에지에서 SQL 삽입, 사이트 간 스크립팅 및 OWASP(Open Worldwide Application Security Project) 상위 10개 위협을 비롯한 일반적인 악용으로부터 웹 애플리케이션을 보호합니다. 진단 로깅을 사용하도록 설정하지 않으면 보안 팀은 에지에서 차단된 공격, 규칙 일치, 액세스 패턴 및 WAF 이벤트에 대한 가시성을 잃게 됩니다. 로깅이 없으면 취약성을 악용하려는 위협 행위자가 검색되지 않으며 인시던트 응답자는 공격 타임라인을 생성할 수 없습니다. Azure Front Door WAF는 보안 모니터링 및 포렌식 분석을 위해 Log Analytics, 스토리지 계정 또는 이벤트 허브로 라우팅해야 하는 액세스 로그 및 WAF 로그를 제공합니다.

수정 작업

• Log Analytics 작업 영역 만들기
• Azure Monitor에서 진단 설정 만들기
• Azure Front Door WAF 모니터링 및 로깅
• Azure Front Door에서 메트릭 및 로그 모니터링
• Azure Monitor Workbooks
• Azure Front Door 경고 구성

관련 콘텐츠

• Azure 네트워크 보안 제로 트러스트 권장 사항
• Azure Front Door의 Azure Web Application Firewall 개요
• Azure Front Door에 대한 WAF 정책 설정