[DataPower]WAF(Web Application Firewall) on IBM DataPower 설정 및 보안 강화 방안 가이드

안녕하세요 이정운 입니다.

모 고객사의 요청에 의해서 IBM DataPower 를 활용한 WAF(Web Application Firewall) 구성 및 보안 강화 방안에 대해서 테스트를 수행해봤고 혹시나 도움이 될까 해서 테스트한 내용을 간단히 정리해서 공유 드립니다.

Web Application Firewall

https://www.ibm.com/support/knowledgecenter/ko/SS9H2Y_7.5.0/com.ibm.dp.doc/waf_introduction.html

WAF 의 경우에는 이름 그대로 다양한 Web 서비스에 대한 소프트웨어적인 방화벽 기능을 수행하는 서비스 입니다. 이를 통해서 대상 Service 를 직접 노출하지 않고 proxy 서비스를 제공 가능하며 SSL termination, 인증/인가 서비스, 유량 제어, HTTP protocol filtering, Injection 공격과 같은 다양한 위협에 대한 방어, cookie handling, Error handling 까지 다양한 서비스에 대한 방화벽 기능을 추가 수행하도록 구성 가능합니다.

참고로 IBM DataPower 에 대해서 간단하게만 설명드리면 IBM DataPower 는 기본적으로 Secure Gateway 역할을 수행하도록 만들어진 솔루션이며 이미 15여년 전 부터 요즘에야 많이 들어보실 수 있는 Non-blocking event-driven I/O architecture 를 보유하여 극강의 성능을 제공할 수 있는 Secure Gateway 솔루션입니다. 거기다가 IBM 에서 제작하고 암호화한 Secure OS 기반으로 동작하기 때문에 혹여라도 잘못된 코드나 위협이 구동할 수 있는 불필요한 열린 모듈이 없으며 DMZ 구간에서도 보안에 특히 안정적입니다. 

https://www-01.ibm.com/events/wwe/grp/grp305.nsf/vLookupPDFs/IBM%20DataPower%20Gateways%20Overview%20and%20Whats%20New/$file/IBM%20DataPower%20Gateways%20Overview%20and%20Whats%20New.pdf

저도 API Gateway 용도로는 많이 테스트 해봤으나 실질적으로 WAF 관련 부분은 메뉴얼을 통해서 공부만 해보다가 이번에 요청에 의해서 테스트로 구현하고 어떤 역할을 수행할 수 있을지 정리할 수 있는 시간이 된거 같고 다른 분들에게도 도움이 될꺼 같아 해당 내용 공유드립니다.

해당 강좌는 하단과 같이 총 4부로 나누어서 하나씩 순차적으로 필요한 기능을 보강하는 형태로 진행하도록 하겠습니다. 

Part #1 : DataPower 에서 기본 WAF 서비스 설정

Part #2 : 기본 WAF 서비스에 대한 보안을 REST/JSON 요청까지 확장

Part #3 : 기본 WAF 서비스에 대한 추가 보안 설정(JSON 관련 보안, 유량 제어등)

Part #4 : 기본 WAF 서비스에 목적 서비스에 대한 Load balancing 기능 추가하기

해당 강좌를 따라서 IBM DataPower 를 이용해 어떻게 WAF 기능을 구성 하고 보안적으로 보강할 수 있는지 확인해보시기 바라며 추가적으로 IBM DataPower 에서 어떤 식으로 다양한 기능을 제공하는지 확인해 보면 좋을듯 합니다. (강좌에서도 언급하겠지만 WAF 강좌에서 사용되는 기능은 각 부분/부분 모두 MPGW(Multi-Protocol GateWay) 로 구성하거나 다른 서비스와 연동 가능하며 원하는 형태로 커스터마이징 가능합니다.)

그럼 백문이 불여일타 실제 강좌를 시작해 보도록 하겠습니다.