데이터시트 목차 2 포괄적인 공격 차단 6 규제 준수 기능 내장 7 정책 제어 9 기민성과 적응성을 위한 통합 14 BIG-IP ASM 아키텍처 15 BIG-IP ASM 플랫폼 15 가상 플랫폼 15 단순한 라이센스 16 F5 글로벌 서비스 16 보다 자세한 정보 웹 공격 차단 및 규제 준수 강화 웹 애플리케이션 트래픽이 계속해 증가하면서 점차 많은 민감한 데이터가 도난, 보안 취약 지점 및 다계층 공격의 위험에 노출되고 있습니다. 비즈니스에 중요한 애플리케이션의 기밀성, 가용성 및 성능을 유지함으로써 기업의 평판을 보호해야 합니다. F5 BIG-IP Application Security Manager (ASM)는 전통적인 환경, 가상 환경 및 프라이빗 클라우드 환경에서 웹 애플리케이션을 안전하게 보호하는 업계에서 가장 유연한 웹 애플리케이션 방화벽입니다. BIG-IP ASM은 알려지지 않은 취약 지점으로부터 애플리케이션을 안전하게 보호하고 주요 의무 규정을 준수할 수 있도록 탁월한 보호 기능을 제공합니다. 네트워크 및 애플리케이션 액세스 제어를 제공하는 데이터센터 방화벽 솔루션에 애플리케이션 딜리버리를 통합한 단일 플랫폼에서 이 모든 보호 기능이 제공됩니다. 주요 혜택 애플리케이션 보안 및 가용성 보장 위치 정보를 기반으로 Layer 7 DDoS (Distributed Denial of Service), SQL Injection 및 OWASP Top 10공격을 포괄적으로 차단하고 최신 양방향 AJAX 애플리케이션 및 JSON 페이로드를 보호할 수 있습니다. 비용 절감 및 규제 준수 강화 내장된 애플리케이션 보호 기능과 중앙 집중식 정책 배포를 통해 보안 표준 준수를 실현합니다. 애플리케이션 보안성 및 성능 향상 고급 애플리케이션 보안을 지원하는 동시에 성능을 가속화하고 비용 효과를 높입니다. 유연한 구축 및 외부 인텔리전스 통합 가상 환경과 클라우드 환경에서 신속한 애플리케이션 개발과 유연한 구축에 초점을 맞추는 동시에 IP 위협으로부터 애플리케이션을 보호하기 위해 외부 인텔리전스를 통합할 수 있습니다. 즉시 적용 가능한 애플리케이션 보안 정책 수립 신속한 구축을 위해 사전 개발된 정책과 최소한의 구성을 통해 시스템을 보호합니다.
포괄적인 공격 차단 보안 공격 및 보호책에 대한 방대한 정보를 업데이트하는 것은 관리자와 보안 팀에게 하나의 과제가 될 수 있습니다. 정보 과부하와 갈수록 교묘해지는 공격으로 인해 그 어려움은 가중되고 있습니다. BIG-IP ASM은 최신 양방향 Web 2.0 애플리케이션에 대한 공격을 포괄적이고 비용 효과적으로 차단하는 동시에 관리자가 공격을 손쉽게 관리할 수 있도록 지원합니다. 최신 양방향 웹 애플리케이션 보호 최신 Web 2.0 애플리케이션들 중 상당수는 양방향 웹 애플리케이션을 구축할 수 있도록 AJAX(Asynchronous JavaScript and XML)의 사용을 지원합니다. AJAX를 사용하면 JSON(JavaScript Object Notation) 페이로드가 있는 애플리케이션에서 서버로 데이터가 전송되기 때문에 페이지 새로고침 없이도 표시 정보를 업데이트할 수 있습니다. 코드를 제대로 작성하지 않으면 공격자들이 애플리케이션을 변경하고 XSS나 가로채기 공격을 시도해서 개인 데이터를 침해할 수 있습니다. BIG-IP ASM은 최신 웹 애플리케이션을 보호하고 취약 지점으로부터 귀중한 정보를 보호합니다. IT에게 지원되는 ID를 통해 고유의 차단 페이지가 제공되면서 사용자에게 AJAX 위젯 정책 위반 사실에 대해 통보하게 됩니다. BIG-IP ASM은 JSON 페이로드의 데이터에 엄격한 정책 규칙을 적용함으로써 최신 JSON 웹 위협으로부터 애플리케이션을 보호합니다. 정책을 위반하면 BIG-IP ASM은 AJAX 위젯에 고유의 차단 메시지를 제공함으로써 JSON 페이로드를 보호합니다. 고급 보안 정책 적용 2 BIG-IP ASM은 클라이언트측 조작으로부터 매개변수를 보호하고 로그인 매개변수 및 애플리케이션 플로우를 확인함으로써 강제 브라우징 및 논리적 결함을 막을 수 있습니다. HPP(HTTP Parameter Pollution) 공격은 애플리케이션 보안을 우회하도록 불법 매개변수를 통해 URL을 분리하는 불법 요청입니다. BIG-IP ASM은 이러한 공격을 인식해서 요청을 차단함으로써 세분화된 공격 차단을 제공합니다.
2014 Verizon 데이터 위협 조사 리포트에 따르면, 웹 애플리케이션 공격 패턴은 계속해서 데이터 침해 공격 시 선호하는 방법으로 활용되고 있는 것으로 나타났습니다. 또한 BIG-IP ASM은 Layer 7 DoS, SQL Injection, XSS(Cross-Site Scripting), Brute Force, 제로 데이 웹 애플리케이션 공격 등과 같은 OWASP Top Ten 어플라이언스 보안 위험을 차단합니다. 이러한 고유의 보호 기능을 통해 DoS 헤비 URL 공격을 차단하고 사기성 거래의 실행을 막으며 브라우저 내 세션 가로채기를 중단시킬 수 있습니다. 관리자는 설정된 비율 및 볼륨 한도를 초과하지 않는 공격을 훨씬 효과적으로 감지하여 의심스러운 요청과 사기성 자금 이체의 근원지를 파악할 수 있습니다. 공격 전문가 시스템 위협의 횟수와 복잡성이 증가함에 따라 BIG-IP ASM는 포괄적인 통합 보안 전문가 시스템을 통해 공격에 대한 상세 설명을 비롯해 공격 탐지 및 완화에 사용되는 차단 기법에 대한 향상된 가시성을 제공합니다. 보안 전문가 시스템은 관리자에게 애플리케이션 보안에 대해 교육을 함으로써 네트워크 팀과 애플리케이션 팀 간의 격차를 해소합니다. BIG-IP ASM의 전문가 시스템은 탐지된 공격에 대한 상세 설명을 제공합니다. 사전 예방적인 봇 방어 F5는 항상 가동되는 보호 기능을 제공하는 사전 예방적인 봇 방어 기능을 제공함으로써 계속해서 발생하는 자동화된 Layer 7 DoS 공격, 웹 스트래핑(web scraping) 및 Brute Force 공격을 차단합니다. 고급 방어 방법을 활용하고 CAPTCHA 챌린지와 같은 기법을 통합함으로써 BIG-IP ASM은 봇을 식별하기 위해 요청을 느리게 처리하고, 서버에 도달하기도 전에 해당 요청을 삭제합니다. BIG-IP ASM은 사용자 상호 작용을 철저하게 검사해 클라이언트/애플리케이션 챌린지, 속도 제한 설정 및 기타 표준 감지 방법을 우회하려는 봇을 감지할 수 있도록 지원합니다. 이는 요청 패턴에서 비정상적인 변경을 보이는 Layer 7 공격도 차단합니다. BIG-IP ASM 봇 차단 기능은 가장 효과적인 차단 방법을 제공해 의심스러운 자동화된 활동을 식별하고 보다 정확하게 악성 봇을 차단할 수 있도록 합니다. 웹 스크래핑 공격 차단 BIG-IP ASM은 귀중한 지적 재산과 정보를 복사해 도용하는 악성 웹 스크래핑 공격을 차단함으로써 브랜드를 보호할 수 있도록 돕습니다. 사람과 브라우저 뒤의 봇(bot)을 구별함으로써 데이터를 얻기 위한 자동화된 불법 요청을 차단합니다. 웹 애플리케이션 관련 정책은 요청 건수가 증가했는지 파악해서 BIG-IP ASM에게 정상적인 요청인지를 검토하도록 경고를 보낼 수 있습니다. 웹 스크래핑이 승인된 알려진 IP 주소는 허용 스크래핑에 대한 화이트리스트에 올릴 수 있습니다. 세션 인식 및 보안 정책 적용 세션이 열리면 BIG-IP ASM은 심층 차단 기능을 제공하는 것은 물론, 애플리케이션 사용자 이름과 세션 동안의 정책 위반을 상호 연관시킴으로써 공격 실행에 대한 이해를 높입니다. 예를 들어, BIG-IP ASM 관리자는 웹 사이트에서의 SQL Injection 공격이 "Bob_Smith"라는 사용자에 의해 실행되었음을 알 수 있습니다. 3
통합 XML 방화벽 BIG-IP ASM은 웹 기반 애플리케이션의 XML 입력이 적절하게 구성되도록 애플리케이션별 XML 필터링 및 검증 기능을 제공합니다. 또한, 스키마 검증, 공통 공격 차단, XML 파서(parser) DoS 차단 등의 기능을 제공합니다. DataGuard 및 클로킹(cloaking) BIG-IP ASM은 데이터를 삭제하고 정보를 마스킹함으로써 민감한 데이터(신용카드 번호, 주민등록번호 등)가 유출되지 않도록 합니다. 뿐만 아니라, 오류 페이지와 애플리케이션 오류 정보를 숨김으로써 해커들이 기반 인프라를 발견해 표적 공격을 감행하지 못하도록 막습니다. 정책 위반과의 상호 연관성을 토대로 보안 사고를 그룹화 공격 회수가 증가함에 따라 수천 건의 정책 위반을 발견했으면서도 특정 보안 사고와의 상호 연관성을 제대로 파악하지 못하는 네트워크 엔지니어들이 많습니다. BIG-IP ASM을 사용하면 공통 보안 룰이나 기준에 따라 "보안 사고"를 정책 위반과의 상호 연관성을 토대로 그룹화할 수 있습니다. 예를 들어, 동일한 소스 IP 주소에서 나온 여러 건의 공격을 단일 보안 사고로 그룹화함으로써 가시성과 관리의 용이성을 높일 수 있습니다. 각 위반 사항들은 해당되는 심각도 등급이 지정되어 있기 때문에 손쉽게 오탐을 제거하고 즉시 관심을 기울여야 하는 위반 사항을 식별할 수 있습니다. 공격 서명에 대한 라이브 업데이트 BIG IP ASM은 포괄적인 웹 애플리케이션 보호 기능을 제공합니다. 신종 공격을 차단하기 위해서는 신종 공격에서 나온 새로운 서명을 자주 업데이트해야 합니다. BIG-IP ASM은 F5 서명 서비스에 대한 쿼리를 매일 수행해서 새로운 서명을 자동으로 다운로드해서 적용합니다. 위치 정보 기반의 차단 여러 다양한 전 세계 소스에서 공격이 증가하고 있기 때문에 BIG-IP ASM은 국가, 주 또는 지역 등을 비롯한 지리 정보를 토대로 공격을 차단할 수 있는 역량을 제공합니다. 관리자는 정책 적용 및 공격 차단을 강화하기 위해 허용 또는 차단된 위치 정보를 손쉽게 선택할 수 있습니다. 또한, 특정 국가 또는 지역에서 시작된 비정상적인 트래픽 패턴에 대해 지리 정보를 기초로 보호 조치를 실행하고 위치를 기반으로 트래픽 제한(traffic throttling)을 실행할 수 있습니다. 이와 같은 위치 기반 보호는 CAPTCHA 챌린지와 RAM 캐시 및 기타 리소스를 DoS 공격으로부터 보호하는 데 활용될 수 있습니다. 정책 적용을 위해 국가나 지역을 선택함으로써 위치 정보 기반의 차단 기능을 손쉽게 구성할 수 있습니다. 4
바이러스 차단 보안 프로토콜 지원 바이러스 차단 스캐닝을 위해 업로드된 파일을 전송 및 수신하기 위해 가장 널리 사용되는 보안 프로토콜이 바로 ICAP(Content Adaptation Protocol)입니다. BIG-IP ASM은 업로드된 SOAP 및 SMTP 파일을 HTTP 요청에서 제거하고 이 파일을 ICAP를 통해 바이러스 차단 서버로 전송합니다. 파일이 감염되지 않은 경우에는 바이러스 차단 서버는 요청을 수락합니다. 파일이 감염된 경우에는 BIG-IP ASM이 해당 요청을 차단함으로써 바이러스 침입으로부터 네트워크를 보호합니다. SMTP 및 FTP 보안 BIG-IP ASM은 SMTP 및 FTP 보안 검사를 통해 스팸, 바이러스성 공격, 디렉토리 정보 도용 및 사기를 차단할 수 있도록 합니다. 관리자는 기본 설정 값을 사용해 네트워크 취약 지점 및 프로토콜 규제 준수에 대해 FTP 및 SMTP 트래픽을 검사하고 위반 시 경고를 발행하거나 요청을 차단하도록 보안 프로파일을 손쉽게 구성할 수 있습니다. SMTP 보안 검사를 통해 몇 가지 기준을 이용해 수신 메일을 검증하는 한편, 메일 서버를 공격하는 데 흔히 악용되는 호출 방식을 수락하거나 불허할 수 있습니다. 뿐만 아니라, 사용자는 수신 메시지 수에 대한 한도를 설정하고 그레이리스트 및 블랙리스트를 작성하며 DNS SPF 레코드를 검증할 수 있습니다. anonymous, passive 또는 active 요청과 특정 FTP 명령, 커맨드 라인 길이, 과도한 로그인 시도에 대해 FTP 위반을 설정할 수 있습니다. 관리자는 손쉬운 설정을 위해 SMTP/FTP 기본 설정 값을 이용하거나 특정 위험을 차단하고 프로토콜 규제 준수를 보다 효과적으로 보장할 수 있도록 프로파일을 지정할 수 있습니다. 손쉬운 웹 서비스 보안 BIG-IP ASM은 웹 서비스 암호화 및 암호 해독을 비롯해 디지털 서명 사인 및 검증의 부하를 분산합니다. 애플리케이션 코딩을 변경할 필요 없이 SOAP 메시지의 암호화 및 암호 해독, 서명 검증 등을 포함해 BIG-IP 시스템 상의 단일 지점에서 이러한 기능들을 손쉽게 관리 및 구성할 수 있습니다. 장치 HTTP/S 트래픽 ASM 웹 애플리케이션 서버 인터넷 BIG-IP 플랫폼 데이터 애플리케이션 딜리버리 방화벽 솔루션 5 네트워크 및 Layer 7 DDoS, SQL Injection, XSS(Cross-site scripting) 같은 다계층 공격이 계속해 증가함에 따라 IT 관리자는 통합 네트워크 및 웹 애플리케이션 방화벽 솔루션을 필요로 하고 있습니다. BIG-IP Advanced Firewall Manager (AFM)와 BIG-IP ASM은 Layer 3에서 Layer 7까지의 위협 유형을 모두 아우르고 공격 보호를 계층화해서 단일 보안 아키텍처에 통합합니다. BIG-IP Local Traffic Manager (LTM)는 최적화된 애플리케이션 딜리버리를 보장하고 BIG-IP Global Traffic Manager (GTM)는 DNS 인프라의 보호를 돕는 DNS 방화벽 기능을 제공합니다. BIG-IP Access Policy Manager (APM)는 사용자에게 맥락(context) 인식 및 정책 기반의 액세스를 제공하는 동시에 인증 받지 않은 액세스로부터 네트워크 및 애플리케이션을 보호합니다. 이와 함께 애플리케이션 딜리버리 방화벽 솔루션은 인증된 네트워크 및 애플리케이션 방화벽과 DNS 방화벽, 데이터 센터를 동적으로 보호할 수 있도록 심층 제어 및 위협 차단을 지원하는 액세스 제어 보안 서비스를 제공합니다.
규제 준수 기능 내장 고급 보안 보호 및 원격 감사 기능이 내장되어 있기 때문에 여러 어플라이언스와 여러 번의 애플리케이션 변경 또는 재작성 없이도 비용 효과적인 방식으로 PCI DSS(Payment Card Industry Data Security Standard), HIPAA, Basel II, SOX 같은 업계 보안 표준을 준수할 수 있습니다. BIG-IP ASM은 Layer 7 DoS 및 SQL Injection 공격 등 사전에 알려지지 않은 위협에 대해 리포팅을 하고 웹 애플리케이션 위협을 차단하여 데이터 침해로부터 기업을 보호합니다. 모든 리포트는 GUI를 기반으로 하며 단 한번의 클릭으로 드릴 다운 분석을 수행할 수 있는 옵션을 제공합니다. PCI 리포팅 PCI 리포팅을 통해 BIG-IP ASM은 PCI DSS 2.0가 요구하는 보안책을 열거하고, 규제 준수 여부를 판단하며, 필요할 경우 규제를 준수하기 위해 필요한 조치들을 상세히 설명합니다. if not. BIG-IP ASM의 PCI 리포팅 기능은 어떤 업계 요구사항이 충족되고 있는지 상세히 설명하고, 필요할 경우 규제를 준수하기 위해 취해야 하는 조치에 대한 정보를 제공합니다. 위치 정보 기반 리포팅 위치 정보 기반 리포팅은 위협이 발생한 국가를 비롯해 공격 유형, 정책 위반, URL, IP 주소, 심각도 등에 대한 정보를 제공합니다. 또한, 항상 최신 정보를 리포팅할 수 있도록 지정된 이메일 주소로 리포트가 자동 전송되도록 일정을 예약할 수도 있습니다. 6
BIG-IP ASM의 위치 정보 기반 리포팅은 전 세계에서 발생하는 공격의 발생지를 파악함으로써 향후 공격을 철저하게 차단할 수 있도록 합니다. 원격 감사를 위한 읽기 쉬운 포맷 BIG-IP ASM은 사람이 읽을 수 있는 포맷으로 정책을 내보냄으로써 보다 손쉽게 보안 정책을 준수하고 귀중한 IT 시간을 줄일 수 있도록 합니다. 읽기 가능한 플랫 XML 파일 포맷 덕분에 감사관은 사이트 외부에서 정책을 볼 수 있습니다. 원격으로 업무를 수행하는 감사관은 웹 애플리케이션 보안 관리자의 지원을 받지 않고도 정책을 확인, 선택, 검토 및 테스트할 수 있습니다. 정책 제어 웹 사이트는 다양하고 복잡하며 끊임 없이 변화하기 때문에 수천 개까지는 아니지만 수백 개에 달하는 규칙을 분명하고 정확하게 정의한 정책이 필요합니다. BIG-IP ASM은 보안 팀이 이러한 변화를 관리하는 동시에, 가장 엄격하게 보안을 제어하는 것과 정상적인 사용자의 액세스를 허용하는 것 사이에 적절한 균형을 유지할 수 있도록 돕습니다. 즉각적인 보호 기능 BIG-IP ASM은 Microsoft Outlook Web Access, Lotus Domino Mail Server, Oracle E-Business Financials 및 Microsoft SharePoint 같은 공통 애플리케이션에 즉각적인 보호 기능을 제공하도록 사전 개발된 애플리케이션 보안 정책 세트를 갖추고 있습니다. 뿐만 아니라, BIG-IP ASM에는 모든 고객 애플리케이션을 즉시 보호할 수 있는 신속한 구축 정책이 포함되어 있습니다. 이렇게 검증을 거친 정책은 구성 시간이 필요하지 않을 뿐 아니라, 휴리스틱(heuristic) 학습 및 특정 고객 애플리케이션 보안 요구에 따라 보다 발전된 정책 생성을 위한 출발점 역할을 합니다. 7
BIG-IP ASM은 미션 크리티컬한 애플리케이션을 즉시 보호할 수 있도록 사전 개발 및 설정되고 검증을 거친 애플리케이션 보안 정책을 제공합니다. 스테이징 스테이징 기능은 현재의 보호 수준을 낮출 필요 없이 가동 중인 환경에서 업데이트된 정책을 투명하게 테스트할 수 있도록 합니다. BIG-IP ASM은 공격 서명, 파일 유형, URL 및 기타 매개변수를 사용해 정책을 손쉽게 스테이징하고 정책을 실행하기 앞서 변경이 필요한지 여부를 테스트할 수 있도록 합니다. 사용자가 만족하고 정책이 라이브 환경에 구현될 준비가 될 때까지 정책을 다시 설계하고 테스트할 수 있습니다. irules 통합 F5 irules 스크립팅 언어는 조직 고유의 애플리케이션 보안 과제를 해결할 수 있도록 확장성을 제공하며, irules는 관리자가 방화벽 규칙의 기능을 확장하는 스크립트를 개발할 수 있도록 지원합니다. 뿐만 아니라, irules는 관리자가 BIG-IP 인프라 전반에서 이 기능을 활용할 수 있도록 하기 때문에 각 조직에서 저마다 다른 형태로 발생하는 위협에 대응할 수 있는 보다 높은 수준의 유연성을 제공합니다. irules 위반은 방화벽 규칙 위반으로 간주되어 자동으로 로깅, 차단 및 리포팅됩니다. 리포트에는 지능형 규칙을 생성하기 위해 필요한 모든 정보가 포함되어 있습니다. irules 통합은 방화벽 정책을 더욱 세분화함으로써 가장 과격한 공격도 차단할 수 있습니다. 실시간 트래픽 정책 빌더 BIG-IP ASM의 핵심에는 자동 자기 학습 및 보안 정책의 생성을 책임지는 동적 정책 빌더 엔진이 있습니다. 이 엔진은 새롭게 발견된 취약 지점을 중심으로 보안 정책을 자동 구축 및 관리함으로써 수동 개입 없이도 신속하고 기민한 비즈니스 프로세스를 구축합니다. 웹 애플리케이션 보안 컨소시엄 (Web Application Security Consortium)에 따르면, 웹 사이트의 97%가 즉각적인 공격의 대상이 될 수 있는 취약 지점을 가지고 있고 이러한 취약 지점의 64%는 서버측에 있다고 합니다. 점차 더 많은 애플리케이션이 웹으로 이동함에 따라 웹 애플리케이션 에서의 데이터 침해가 심각한 문제로 대두되고 있습니다. Ponemon Institute는 일단 데이터 침해가 발생하면 유출된 레코드당 평균 214달러의 비용이 발생하는 것으로 추산하고 있습니다. 1 8 트래픽이 BIG-IP ASM을 통해 이동하면 정책 빌더는 요청 및 응답을 분석해서 전체 클라이언트 및 애플리케이션 트래픽(데이터 및 프로토콜)의 양방향 흐름을 점검할 수 있는 고유한 기능을 제공합니다. 그리고 고급 통계값 및 휴리스틱 엔진을 사용해 공격과 비정상 트래픽을 걸러냅니다. 또한, 정책 빌더는 사이트 업데이트를 인식할 수 있는 모드에서 작동할 수 있습니다. 응답 및 요청을 분석해서 사이트 변경을 탐지하고 이에 따라 사용자 개입 없이 정책을 자동 업데이트할 수 있습니다. 사전 설정된 정책을 위한 iapps F5 iapps 는 비즈니스를 지원하는 애플리케이션 서비스에 대한 맥락 인식 기반 뷰와 고급 통계값을 제공함으로써 애플리케이션, 보안, 네트워크, 시스템 및 운영 인력에게 ADN (Application Delivery Network)을 통합, 단순화 및 제어할 수 있는 토대를 제공합니다. 1 "기업 데이터 침해 사고의 평균 비용이 2013년 350만 달러로 증가" Tim Wilson, Dark Reading.
또한, 애플리케이션 서비스를 구축할 때 손쉽게 사용할 수 있는 유연한 템플릿을 위해 사전 설정된 정책을 사용해 BIG-IP ASM 보안을 애플리케이션에 지원하기 때문에 IT 기민성과 효율성을 높일 수 있습니다. 신속한 정책 생성과 유용한 힌트 BIG-IP ASM에서 애플리케이션 보안 정책을 구성 및 구현할 때 유용한 힌트는 보다 강력한 정책을 수립하고 보다 철저하게 애플리케이션을 보호하며 위협 양상에 보다 강력하게 대응할 수 있도록 지침을 제공합니다. 예를 들어 보안 정책을 설계하는 동안 생산성과 정확도를 높일 수 있도록 UI에서 빠른 링크(Quick Link)로 사용할 수 있는 유용한 링크 목록이 제공됩니다. 뿐만 아니라, 할 일(To Do) 목록에는 BIG-IP ASM 정책을 개선하기 위해 권장되는 작업이 나와 있습니다. 중앙 집중식 정책 관리 및 배포 BIG-IQ Security는 관리자에게 모든 BIG-IP ASM 장치에 대한 통합된 뷰와 방화벽 인프라 전반의 BIG-IP ASM 장치에서 정책을 손쉽게 배포하기 위한 단순화된 접근 방식을 제공합니다. BIG-IP ASM 장치에 대한 중앙 집중식 뷰를 토대로 관리자는 방화벽 구성을 손쉽게 가져와서 여러 장치에서 방화벽 정책을 일관되게 적용하고, 정책 비교를 통해 중복되거나 상충되는 규칙을 식별하며 기업 정책의 준수 여부를 확인할 수 있습니다. 덕분에 IT 오버헤드를 줄이고 구성 오류를 최소화하며 각 정책의 전반적인 효과를 보장할 수 있습니다. 애플리케이션 가시성 및 리포팅 BIG-IP ASM은 가장 요청이 많은 URI와 서버 대기시간이 발생한 모든 URI를 모니터링하고 리포팅합니다. 또한, 속도가 저하된 서버 스크립트에 대한 가시성을 제공하고 대기시간을 야기하는 서버 코드의 문제를 해결합니다. BIG-IP ASM은 최근 1 시간, 최근 1일, 최근 1 주에 웹 애플리케이션에서 가장 많이 액세스된 페이지를 모니터링합니다. 그리고 이들 페이지에 대한 TPS 및 평균 대기시간을 제공합니다. 뿐만 아니라 모든 웹 애플리케이션에서 가장 액세스가 많은 소스 IP 주소 목록과 함께 모든 IP 주소에 대한 TPS 및 처리 성능에 대한 정보를 제공합니다. 이러한 모니터링 기능 덕분에 관리자는 애플리케이션이 어떻게 액세스되고 있는지, 어떻게 작동하고 있는지에 대한 가시성을 확보할 수 있습니다. 기민성과 적응성을 위한 통합 공격 방법과 IT 환경의 잦은 변화에 대응할 수 있는 능력은 웹 애플리케이션 보안의 핵심 요소입니다. BIG-IP ASM은 타사 제품들을 통합해서 동적인 적응형 보안 솔루션을 제공합니다. 취약 지점 평가, 감사 및 실시간 데이터베이스 리포팅을 위해 WhiteHat, Splunk 및 Oracle 제품들을 통합함으로써 보안 침해 검토, 공격 차단 및 규제 준수를 제공합니다. 타사 제품과의 통합 외에도 BIG-IP ASM은 다른 F5 제품들과 연동해 웹 애플리케이션 가속화 및 액세스 제어 같은 향상된 혜택을 제공합니다. 고급 취약 지점 평가 및 애플리케이션 보호 BIG-IP ASM은 업계 최고의 웹 애플리케이션 취약 지점 스캐너를 통합해 사용자가 손쉽게 평가 결과를 관리하고 취약 지점을 발견하며 단일 지점에서 특정 정책을 적용할 수 있도록 지원합니다. 또한 검증되고 실행 가능한 애플리케이션 평가 결과를 토대로 거의 실시간으로 공격을 차단하고 개발자가 취약점이 발견된 코드를 수정하는 동안 시스템을 보호합니다. 9
이 서비스를 통해 BIG-IP ASM 관리자들은 WhiteHat, Cenzic, IBM 및 QualysGuard 애플리케이션 스캐너로부터 취약 지점을 가져올 수 있습니다. Cenzic Hailstorm 또는 WhiteHat Sentinel과 BIG-IP ASM을 함께 사용할 경우, 스캐너에 대한 최근의 웹사이트 변경을 감지 및 리포팅해서 간과될 뻔했던 URL 및 매개변수를 스캔하고 특정 정책을 적용함으로써 업데이트 이후에 즉시 애플리케이션을 보호할 수 있습니다. 또한, 신속한 구축 같은 현재 정책이나 다중 구축을 위한 SharePoint 정책을 토대로 취약 지점 기반의 정책(F5 스캐너 통합으로 얻게 된 기능)을 손쉽게 계층화할 수 있습니다. 따라서, 관리자가 어떻게 정책을 구축하든 관계 없이 BIG-IP ASM은 추가적인 취약 지점 평가 스캔을 통해 기존의 정책을 토대로 스캔 기반의 정책을 계층화함으로써 공격 보호를 계층화할 수 있습니다. 4가지 스캐너 서비스가 통합되어 있기 때문에 BIG-IP ASM 관리자는 정책 생성을 위해 BIG-IP ASM에 대한 취약 지점을 가져올 수 있습니다. 4가지 서비스는 다음과 같습니다. Cenzic Hailstorm WhiteHat Sentinel IBM Rational AppScan QualysGuard Web Application Scanning Cenzic Hailstorm과 WhiteHat Sentinel의 경우, BIG-IP ASM은 3가지 무료 시험 검사를 실행할 수 있는 옵션(사용자 인터페이스에 통합)을 포함하고 있습니다. Cenzic Hailstorm 취약점 평가 및 BIG-IP ASM 차단 기능을 통합한 BIG-IP ASM 사용자 인터페이스 웹 애플리케이션 취약 지점을 위한 Cenzic Hailstorm 또는 Cenzic Cloud 서비스 통합 스캐닝은 Cenzic 고객들을 위한 BIG-IP ASM UI를 통해 관리가 가능하며, Cenzic Cloud 등록 시 제공되는 3개의 무료 스캔을 통해 사용이 가능합니다. 취약 지점은 스캔 이후에 UI에서 볼 수 있으며 위협 해결을 위해 사용할 수 있습니다. 외부 IP 인텔리전스를 통해 강화된 보호 기능(옵션) 적절한 보안책 없이 사용자에게 방대하고 복잡한 인터넷 콘텐츠를 제공하는 것은 매우 위험한 행동입니다. 클라이언트들은 급변하는 IP 주소로 인한 다양한 악의적 공격에 노출됩니다. DDoS 및 악성 코드 활동 등과 같은 인바운드 및 아웃바운드 봇넷 트래픽은 보안 계층에 침투해 귀중한 처리 성능을 소비할 수 있습니다. 10
F5 IP Intelligence 서비스는 외부 인텔리전트 서비스를 통합하여 자동 애플리케이션 제공 의사 결정을 향상시킴으로써 IP 인텔리전스와 맥락 기반 보안을 강화합니다. IP Intelligence 서비스는 악의적 활동과 관련된 IP 주소와 보안 카테고리를 식별함으로써 위협이 되는 IP 주소의 동적 목록을 BIG-IP 플랫폼에 통합해서 맥락 인식을 기반으로 자동으로 차단 결정을 내릴 수 있도록 돕습니다. 또한, 특정 범주에서 나온 IP에 대해 경고나 전체 차단을 설정하는 한편, 승인된 IP 주소를 포함한 화이트리스트를 작성할 수 있습니다. IP Intelligence 서비스는 다음과 같은 다양한 위협 범주에서 IP 주소를 식별합니다. 봇넷 봇의 제어를 받는 감염된 IP DoS(Denial of Service) DoS, DDoS, SYN 플루드 공격이 있다고 알려진 IP Windows 악성 코드 악성 코드를 확산한다고 알려진 IP Anonymous 프록시 어니언 라우터(Tor)를 포함해 anonymous 서비스에 사용되는 IP 웹 공격 SQL Injection, 사이트 간 요청 위조, XSS 및 애플리케이션 인프라 공격이 있다고 알려진 IP 평판 감염된 IP 피싱 프록시 피싱 사이트 호스트 스캐너 프로브, 스캔 및 Brute Force IP 정상 사용자 센서 네트워크 공격자 피싱 공격자 악성 코드 허니팟(honeypot) 인터넷 IP Intelligence가 평판이 나쁜 소스를 식별 확인되지 않은 사용자 프록시 팜 IP Intelligence 데이터베이스에서 업데이트 엔터프라이즈 사용자 BIG-IP 플랫폼 IP Intelligence가 IP를 위협하는 연결 식별 스캐너 웹 애플리케이션 허니팟 감염된 랩톱 IP Intelligence는 F5 솔루션이 사용할 수 있도록 평판 데이터를 수집합니다. 11
IP Intelligence 서비스는 IPS(Intrusion Prevention Service)와 달리 CDN(Content Delivery Network)이나 기타 프록시 뒤에서 사용되는 경우에는 방어 서비스를 제공할 수 있는 독보적인 기능을 갖추고 있습니다. XFF(X-Forwarded-For) 헤더 내에서 로깅된 원래의 실제 클라이언트 IP 주소를 평가함으로써 위협이 되는 IP가 있는지에 따라 CDN에서 트래픽을 허용 또는 차단할 수 있도록 합니다. IPS 또는 전통적인 방화벽 기술을 비롯한 다른 솔루션들은 패킷의 소스 주소(XFF 헤더 대신)를 검사하고 최종적으로 CDN의 프록시 주소를 평가합니다. Splunk를 통한 중앙집중식 리포팅 대규모의 고속 인덱싱 및 검색 솔루션인 Splunk는 많은 BIG-IP ASM용 리포트를 제공합니다. 이들 리포트는 공격 및 트래픽 트렌드, 포렌식을 위한 장기적인 데이터 통합, 보안 사고에 대한 신속한 응답, 노출에 앞서 예상하지 못한 위협 식별 등에 대한 가시성을 제공합니다. Oracle을 통한 데이터베이스 리포팅 및 보안 Oracle Database Firewall과 BIG-IP ASM의 통합으로 웹 애플리케이션 및 데이터베이스 보안을 위한 업계 선도적인 솔루션이 탄생했습니다. 이와 같은 강력한 솔루션은 웹을 통해 민감한 데이터에 대한 액세스 권한을 얻고 데이터베이스를 와해시키며 데이터베이스에 대한 DoS 공격을 실행하려는 시도에 대한 공통 리포팅 기능을 공유합니다. 리포트와 경고 기능이 이러한 공격의 유형과 위협을 즉시 탐지해 알리는 동안 악의적 사용자를 격리할 수 있습니다. IBM InfoSphere Guardium 데이터베이스 보안과의 통합 BIG-IP ASM의 강력한 보안 및 리포팅 기능과 IBM InfoSphere Guardium의 고급 데이터베이스 검사 및 리포팅 기능을 결합함으로써 조직들은 자체 웹사이트의 운영에 대한 단연 독보적인 실시간 뷰를 확보할 수 있게 됐습니다. 이러한 정보를 통해 관리자들은 공격을 방지하고 통제하며 접근을 감사하는 등 다양한 조치를 취하는 것은 물론, 여타 많은 기본 데이터베이스 작업을 수행할 수 있습니다. 예를 들어, Guardium 및 BIG-IP ASM을 이용하여 관리자는 프론트 엔드 사용자가 어떤 SQL 명령을 작성하고 있는지 실시간으로 보여주는 대시보드를 실행할 수 있습니다. 가속화 및 애플리케이션 보안 BIG-IP ASM과 BIG-IP WebAccelerator 를 BIG-IP Local Traffic Manager에서 함께 실행하면 애플리케이션을 보호하는 동시에 성능을 가속화할 수 있습니다. 이 효율적인 다중 솔루션 플랫폼은 성능 저하 없이 보안을 강화합니다. 공격을 즉시 필터링하고 웹 애플리케이션을 가속화해서 사용자 경험을 향상시킬 수 있습니다. 새로운 어플라이언스를 네트워크에 도입할 필요가 없다는 점에서 비용 효과를 극대화할 수 있는 올인원(all-in-one) 솔루션이라 할 수 있습니다. 세분화된 액세스 제어 및 애플리케이션 보안 BIG-IP Access Policy Manager (APM)와 BIG-IP ASM은 BIG-IP 시스템을 토대로 함께 계층화된 액세스 제어 및 애플리케이션 보안 서비스를 제공합니다. BIG-IP APM을 사용하면 사용자에게 맥락(context) 인식 및 정책 기반의 액세스를 제공하는 동시에 웹 애플리케이션에 대한 AAA(Authentication, Authorization, and Accounting) 관리를 단순화할 수 있습니다. BIG-IP APM은 BIG-IP ASM 독립형 어플라이언스에 대한 애드온 모듈로 제공됩니다. BIG-IP APM-lite(10개의 무료 사용자 라이센스 포함)는 BIG-IP ASM 독립형 어플라이언스 구입 시 함께 포함됩니다. 12
가상 및 클라우드 환경에서의 애플리케이션 보안 가상 및 프라이빗 클라우드 환경에서 BIG-IP ASM Virtual Edition를 통해 완벽하게 유연한 보안을 구축할 수 있습니다. 애플리케이션이 가상화된 환경으로 마이그레이션함에 따라 관리자는 취약 지점과 공격으로부터 애플리케이션을 보호함으로써 귀중한 데이터를 보호해야 합니다. 가상 또는 클라우드 애플리케이션에서 BIG-IP ASM을 사용해 유연한 애플리케이션 보안을 구축하고, 랩 또는 운영 환경에서 정책을 설계 및 관리하며, 모든 하드웨어 및 가상 에디션에 대한 정책을 동시에 자동으로 동기화할 수 있습니다. BIG-IP ASM은 구축이 손쉽고 모든 환경에서 애플리케이션 보안을 지원하는 완벽하게 가상화된 애플리케이션 보안 솔루션을 구현할 수 있도록 합니다. vcmp(virtual Clustered Multiprocessing) 및 WAF as a Service WAF(Web Application Firewall) as a service를 제공하는 매니지드 서비스 제공업체이건, 아니면 단순히 다수의 BIG-IP ASM 장치를 관리하는 업체이건 관계 없이 F5 Scale-N vcmp(virtual Clustered Multiprocessing )를 채용한 BIG-IP ASM은 대규모 구축을 관리하는 업체들에게 가장 비용 대비 효과적인 보안 구현을 제공합니다. BIG-IP ASM 및 vcmp 도입 시스템을 통해 관리자들은 여러 방화벽을 하나의 장치로 손쉽게 통합하고 각 고객, 그룹, 애플리케이션 및 서비스별로 구분되는 보다 유연한 방식으로 BIG-IP ASM 리소스를 할당할 수 있습니다. vcmp는 하드웨어 및 소프트웨어의 조합을 통한 고밀도의 방화벽 격리를 통해 BIG-IP ASM의 여러 인스턴스를 단일 BIG-IP 플랫폼상에서 실행할 수 있도록 합니다. 보다 손쉬운 관리와 유지 보수는 물론, 방화벽 인프라 전반의 일관성을 보장하기 위해 게스트 방화벽을 클러스터링으로 구성할 수 있습니다. vcmp는 보안 인프라를 통합하여 보다 효과적으로 관리함으로써 효율성을 보장하고 동적이고 유연한 WAF 서비스 인프라를 통해 SLA(Service-Level Agreement)를 준수할 수 있도록 보장합니다. 또한, BIG-IP ASM은 클라우드/IaaS 가상 플랫폼과 타사의 정책 관리 솔루션에 대한 손쉬운 통합을 지원하는 오픈 API를 제공합니다. 엔지니어들은 로그인 설정, 학습, 반자동 튜닝, 사용 방법 문의, 상태 모니터링 등과 같은 모든 정책 관리 작업을 지원하는 프로그래밍 인터페이스에서 BIG-IP ASM 정책을 완벽하게 설정하고 관리할 수 있습니다. BIG-IP ASM REST API는 모든 범위의 BIG-IP ASM 정책 개체를 표시하여 WAF as a service의 개방형 모델을 지원합니다. 13
BIG-IP ASM 아키텍처 BIG-IP ASM은 특수 용도를 위해 개발된 F5 고유의 TMOS 운영체제를 기반으로 합니다. TMOS는 BIG-IP ASM의 모든 기능을 향상시킨 모듈식의 지능형 고성능 운영체제입니다. 웹 애플리케이션을 지능적으로 보호하기 위한 통찰력, 유연성 및 제어 기능을 제공합니다. TMOS는 다음과 같은 기능을 제공합니다. F5 OneConnect 를 통해 연결에 대한 요청 통합 SSL 부하 분산 캐싱 압축 인바운드 트래픽 또는 아웃바운드 트래픽에 관계 없이 모든 애플리케이션 컨텐츠를 원격으로 처리할 수 있는 기능 TCP/IP 최적화 고급 Rate Shaping 및 QoS IPv6 Gateway IP/포트 필터링 내장 스위치를 통한 VLAN 지원 리소스 프로비저닝 루트 도메인 (가상화) 원격 인증 보안 커스터마이즈된 법적 고지 및 보안 로그인 배너 표시 관리자 세션 타임아웃 적용 BIG-IP 시스템에서 안전하게 로그아웃 강화된 감사 및 로깅 요구사항 준수 SSL 증명서의 읽기/변경을 금지함으로써 완벽하게 보호 BIG-IP ASM은 다음과 같이 다양한 애플리케이션 공격을 차단합니다. AJAX/JSON 웹 위협 Layer 7 DoS 및 DDoS Brute Force XSS(Cross-Site Scripting) 사이트 간 요청 위조 SQL Injection 매개변수 및 HPP 탬퍼링(tampering) 민감한 정보 유출 세션 가로채기(hijacking) 버퍼 오버플로우 쿠키 조작 다양한 인코딩 공격 취약한 액세스 제어 강제 브라우징 히든 필드 조작 요청 스머글링(smuggling) XML 폭탄/DoS 웹 스크래핑 리버스 엔지니어링 코드 검사 애플리케이션 탬퍼링(tampering) 추가적인 보안 서비스로는 다음과 같은 것들이 있습니다. PCI 규제 준수 리포트 공격 전문가 시스템 정책 스테이징 신속한 정책 생성과 유용한 힌트 BIG-IP 대시보드의 BIG-IP ASM 측정 지표 애플리케이션 가시성, 리포팅 및 분석 웹 스크래핑 공격 차단 정책 위반과의 상호 연관성을 토대로 보안 사고를 그룹화 irules와 Fast Cache 통합 유효 요청이나 공격 요청에 대한 응답 포착 SSL 액셀러레이터 데이터 센터 방화벽 솔루션 ICSA 인증을 거친 네트워크 및 애플리케이션 방화벽 위치 정보 기반의 차단 키 관리 및 페일오버 처리 SSL 종료 및 웹 서버에 대한 재암호화 웹 서비스 암호화/암호 해독 및 디지털 서명 확인 VLAN 세그먼트화 기존 BIG-IP ASM 정책을 토대로 하는 취약성 중심의 정책 계층화 클라이언트측 증명서 지원 LDAP/RADIUS를 통한 클라이언트 인증 BIG-IP 모듈 계층화 외부 IP 인텔리전스를 통한 보호 강화 ICAP 지원 무료 스캔 제한을 통한 고급 취약점 평가 통합 중앙집중식 고급 리포팅 Oracle Database Firewall을 통한 데이터베이스 보안 가상 환경을 위한 애플리케이션 보안 여러 장치들 간의 자동 정책 동기화 프라이빗 클라우드에서의 애플리케이션 보안 64비트 OS 지원 루트 도메인 지원 가상 서버를 보호하기 위한 구축 마법사 다음과 같은 애플리케이션에 대한 보안 정책이 내장되어 있습니다. Lotus Domino 9.0 Microsoft ActiveSync v1.0, v2.0, v4.5 Microsoft OWA in Exchange 2003, 2007, 2010, 2013 Microsoft SharePoint 2003, 2007, 2010, 2013 Oracle Portal 11g Oracle Application 12c Oracle PeopleSoft Portal 9 SAP NetWeaver 7 14
BIG-IP ASM 플랫폼 BIG-IP ASM은 BIG-IP 플랫폼 및 BIG-IP LTM Virtual Edition에서 BIG-IP Local Traffic Manager를 위한 독립형 솔루션이나 애드온 모듈로 제공됩니다. BIG-IP APM은 BIG-IP ASM 독립형 어플라이언스에 대한 애드온 모듈로 제공됩니다. BIG-IP APM Lite(10개의 무료 사용자 라이센스 포함)는 BIG-IP ASM 독립형 어플라이언스 구입 시 함께 포함됩니다. 자세한 물리적 규격은 BIG-IP 시스템 하드웨어 데이터시트를 참조하십시오. 가상 플랫폼 BIG-IP ASM와 함께 구성된 BIG-IP LTM VE와 독립형으로 설치된 BIG-IP ASM VE는 가상화된 환경의 요구를 충족할 수 있도록 지원합니다. BIG-IP ASM VE 지원되는 하이퍼바이저: VMware vsphere Hypervisor 4.0, 4.1, 5.0 및 5.1과 vcloud Director 1.5 Citrix XenServer 5.6 및 6.0 Microsoft Hyper-V for Windows Server 2008 R2 및 2012 KVM Linux Kernel 2.6.32 (RHEL 6.2/6.3, CentOS 6.2/6.3) BIG-IP VE는 AWS(Amazon Web Services) 내에서 사용할 수 있도록 AMI(Amazon Machine Image)로도 제공됩니다. 단순한 라이센스 빠르게 변화하는 환경에서 그 어느 때보다 손쉽게 애플리케이션의 요구를 충족할 수 있게 됐습니다. F5의 Good, Better, Best 옵션은 온 디맨드 방식으로 고급 모듈을 프로비저닝함으로써 최고의 가치를 실현할 수 있도록 유연성을 제공합니다. F5의 레퍼런스 아키텍처를 이용하여 귀사의 애플리케이션 환경에 적합한 솔루션 결정 F5의 Good, Better, Best 오퍼링을 통해 애플리케이션을 실행하는 데 필요한 모듈 프로비저닝 가상 또는 물리적 플랫폼상에 모듈을 구축할 수 있는 기능을 통해 완벽한 애플리케이션 유연성 구현 15
16 데이터시트 F5 글로벌 서비스 F5 서비스는 세계 최고 수준의 지원, 교육 및 컨설팅을 제공하여 고객들이 F5에 대한 투자를 통해 최대한의 성과를 거둘 수 있도록 돕고 있습니다. 질문에 대한 신속한 응답을 제공하고 내부 팀을 교육시키며 설계에서 구축까지 전체 구현 프로젝트를 처리하는 등 F5 글로벌 서비스 팀은 귀사의 애플리케이션이 항상 안전하고 신속하며 신뢰할 수 있도록 보장합니다. F5 글로벌 서비스에 대한 보다 자세한 정보를 원하시면, consulting@f5.com으로 메일을 보내시거나 f5.com/services를 방문해 주십시오. 보다 자세한 정보 BIG-IP ASM에 대한 보다 자세한 내용은 물론, 추가 자료를 f5.com에서 확인할 수 있습니다. 데이터시트 IP Intelligence BIG-IP Application Acceleration Manager 리포트 가트너 WAF(Web Application Firewall) 매직 쿼드런트 2014년 백서 PCI DSS 준수 BIG-IP ASM을 통한 애플리케이션 DDoS 공격 차단 애플리케이션 보안에서의 취약점 평가 사례 연구 Human Kinetics, 웹 사이트 성능, 보안 및 혁신 강화 기사 SC Magazine 리뷰: F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com F5 Networks, Inc. 본사 info@f5.com F5 Networks 아시아 태평양 apacinfo@f5.com F5 Networks Ltd. 유럽/중동/아프리카 emeainfo@f5.com F5 Networks 한국 southkorea@f5.com Solutions for an application world. 2014 F5 Networks, Inc. 전권 보유. F5, F5 Networks 및 F5 로고는 미국 및 기타 특정 국가에서 F5 Networks, Inc.의 상표입니다. 기타 F5 상표는 f5.com에서 확인할 수 있습니다. 본 자료에 언급된 기타 모든 제품, 서비스 또는 회사 이름은 각 소유권자의 상표이며, F5의 그 어떠한 명시적 또는 암묵적 보증이나 제휴도 부인합니다. DS-28204 0714