Part #3 : 기본 WAF 서비스에 대한 추가 보안 설정
이전 파트까지 살펴보시면 아시겠지만 기본적으로 IBM DataPower 에서 서비스의 WAF 기능은 다양한 보안 기능을 기본적으로 제공합니다. 이에 덧붙여서 몇가지 보안을 강화하는 방안을 본 강좌에서 다뤄볼려고 합니다. 특히나, IBM DataPower 에서 쉽게 설정 가능하며 굉장히 잘할 수 있는 유량제어도 간단하게 살펴보도록 하겠습니다.
- JSON 관련 보안 강화
WAF 설정에서 JSON 관련 보안을 강화하기 위하여 XML Manager 를 추가해야 하며 이를 위해서 '+' 아이콘을 클릭합니다.
XML Manager 설정에서 기 언급했던 JSON Settings 를 추가하기 위해서 '+' 를 클릭합니다.
JSON Settings 에서 하단의 옵션을 조정하여 JSON 대상 보안을 하단과 같이 강화할 수 있습니다.
추가적으로 여기서는 다루지 않겠지만 XML Manager 에는 하단과 같은 추가 기능이 더 있습니다. 예를 들어 Document Cache 나 Document Cache Policy 를 사용하면 WAF 에다가 Document Cache 기능을 추가하는 것도 가능합니다.
보다 자세한 사항은 하단의 IBM DataPower Gateway 의 온라인 메뉴얼을 참고하시기 바라겠습니다 .
XML 관리자
https://www.ibm.com/support/knowledgecenter/ko/SS9H2Y_7.5.0/com.ibm.dp.doc/xmlmanager.html
- 유량 제어(Rate Limiting)
유량 제어란 간단히 언급드리면 Secure Gateway 측면에서 뒷단으로 서비스 요청 전달을 수행할때 뒷단의 서비스가 과부하를 받지 않도록 부하를 제어하는 것을 의미합니다. 좀 더 쉽게 이야기하면 지정된 TPS 이상의 부하가 오지 못하게 Secure Gateway 측면에서 통제하는 것을 의미하죠. 이를 활용하면 뒷단의 WAS 가 과부하를 받아서 문제가 일어나는 것을 방지할 수 있으며 보다 안정적인 시스템에 대한 구축이 가능합니다.
요청 프로파일에서 Rate Limiting 을 사용하기 위해서 '+' 아이콘을 클릭합니다.
Rate Limiter 에서 유량 제어를 할 Rate 를 주고(TPS 기준) 시행 스타일을 'Reject' 를 선택합니다.
(참고적으로 기본 Reject 방식 이외에 Notify(말 그대로 log만 쌓는 방식), Shape (일정 임계치 까지는 큐잉하다가 그 이상은 거부) 가 있습니다. )
이를 간단하게 테스트해보면 지정된 것처럼 client 요청이 2 TPS 를 넘으면 하단과 같이 요청이 거부되고 에러 메세지를 확인 가능합니다.
보시는 것과 같이 IBM DataPower 를 활용하여 일반 WAF 기능을 구현 가능하지만 추가적으로 유량제어와 같이 IBM DataPower 가 가지고 있는 다른 기능들을 추가 활용 가능하여 좀 더 지능적인 WAF 구성이 가능합니다.
댓글