1 - Overview
서비스 개요
WAF(Web Application Firewall)는 웹 사이트의 트래픽을 모니터링하여 웹 애플리케이션을 안전하게 보호하는 서비스입니다. 웹 사이트의 취약점을 노리는 HTTP, HTTPS 기반 보안 위협을 신속하게 탐지하고 분석합니다.
특장점
- 강력한 탐지/차단: 고객이 등록한 웹 페이지의 HTTP, HTTPS 트래픽을 모니터링하여, 해커의 공격 시도를 실시간으로 탐지합니다. SQL Injection, Cross-Site Scripting (XSS), Web Scan 등 공격을 분류하고, 웹 보안에 필요한 다양한 방어기능을 제공하여 신종 웹 공격 유형에 즉각적으로 대처합니다.
- 안정적인 웹 서비스 운영 지원: 웹 방화벽 시그니처 패턴 및 펌웨어 업데이트를 통해 신규 보안 위협에 대응합니다. OWASP (Open Web Application Security Project) 상위 10대 공격, 국가정보원 8대 취약점 공격, Zero-Day 공격 등 신종 웹 위협과 Bad Bot 등 해커의 공격 시도를 탐지하여 효율적이고 안정적인 웹 서비스를 운영할 수 있도록 지원합니다..
- 편리한 보안 관리: 월별 보고서를 제공하여 편리하게 이벤트 내역을 확인할 수 있습니다.
서비스 구성도
공공향 WAF 서비스는 관제(Security Center)를 제공하지 않습니다.
제공 기능
다음과 같은 기능을 제공하고 있습니다.
- 침입 탐지/분석 제공
- 24x365 이벤트 모니터링 (경보 발행, 월간 보고서 제공), 단, 공공향 WAF 서비스는 해당 내용을 제공하지 않습니다.
- 웹 방화벽 이벤트 분석을 통한 공격 분류(Injection, XSS, File Include, File Up/Download, Web Scan 등)
- 최신 공격 패턴 탐지 (Apache Struts 취약점 등)
- 침입 대응
- 등록된 URL 대상 공격 시도 IP 정보 제공
구성 요소
Samsung Cloud Platform의 VPC 내 Virtual Server에 WAF 라이선스를 설치해 서비스를 제공합니다.
제약 사항
WAF를 사용하기 위해서는 다음의 사항들을 미리 확인하세요.
- WAF를 단일 구성하는 경우, WAF 설치 VM 또는 WAF 애플리케이션 장애 시 서비스 연속성을 보장할 수 없습니다.
- Samsung Cloud Platform의 Load Balancer와 WAF는 bypass를 지원하지 않습니다.
- Samsung Cloud Platform에서 제공하는 보안관제 서비스는 펜타시큐리티 상품에 한정해 제공합니다. (운영+관제 상품)
- 공공향 WAF 서비스는 보안관제 서비스를 제공하지 않습니다.
- WAF 서비스는 엔지니어가 직접 설치를 지원하며, 신청부터 구축까지 일정 시간이 소요됩니다.
리전별 제공 현황
WAF는 아래의 환경에서 제공 가능합니다.
| 리전 | 일반(엔터) | 공공 |
|---|---|---|
| 한국 서부(kr-west1) | 제공 | 미제공 |
| 한국 동부(kr-east1) | 미제공 | 미제공 |
| 한국 남부1(kr-south1) | 미제공 | 제공 |
| 한국 남부2(kr-south2) | 미제공 | 제공 |
| 한국 남부3(kr-south3) | 미제공 | 제공 |
표. WAF 리전별 제공 현황
선행 서비스
해당 서비스를 신청하기 전에 미리 구성되어 있어야 하는 서비스 목록입니다. 자세한 내용은 각 서비스 별로 제공되는 가이드를 참고하여 사전에 준비하세요.
- WAF 서비스 이용시 Virtual Server에 WAF 라이선스가 설치되어 제공됩니다. 사용자가 원하는 서비스 사양에 맞는 Virtual Server를 먼저 설치하세요.
| 서비스 카테고리 | 서비스 | 상세 설명 |
|---|---|---|
| Compute | Virtual Server | 클라우드 컴퓨팅에 최적화된 가상 서버 |
| Networking | Direct Connect | 고객 네트워크와 Samsung Cloud Platform을 안전하고 빠르게 연결하는 서비스 |
표. WAF 선행 서비스
참고
Secured VPN을 사용하는 고객은 별도의 Direct Connect 신청이 필요 없습니다. (Secured VPN 신청시 Direct Connect 신청 필요)
단, Secured VPN을 사용하지 않는 일반(엔터) 고객은 Direct Connect를 별도로 신청하셔야 합니다.
* 신청 경로 : Console > Support Center > 서비스 요청
* 서비스 : Networking > Direct Connect
* 작업 구분 : Uplink 회선 신청
2 - How-to guides
사용자는 Samsung Cloud Platform Console을 통해 WAF 서비스 이용을 위한 필수 정보를 입력하여 해당 서비스를 신청할 수 있습니다.
WAF 신청하기
Samsung Cloud Platform Console에서 WAF 서비스를 신청하여 사용할 수 있습니다.
WAF 서비스 생성을 요청하려면 다음 절차를 따르세요.
모든 서비스 > Security > WAF 메뉴를 클릭하세요. WAF의 Service Home 페이지로 이동합니다.
Service Home 페이지에서 WAF 서비스 요청 버튼을 클릭하세요. Support Center > 서비스 요청 목록 > 서비스 요청 페이지로 이동합니다.
서비스 요청 페이지에서 필수 입력 영역에 해당 정보를 입력하거나 선택하세요.
- 작업 구분에서 WAF 생성을 선택하세요.
입력 항목 상세 설명 제목 서비스 요청 내용의 제목을 입력 - 예시: WAF 서비스 생성 신청
리전 Samsung Cloud Platform의 위치를 선택 - Account에 해당하는 리전으로 자동 입력됨
서비스 서비스 카테고리와 서비스를 선택. WAF 서비스 요청 버튼을 누른 경우, 자동으로 입력됨 - 서비스 카테고리: Security
- 서비스: WAF
작업 구분 요청하고자 하는 유형을 선택 - WAF 생성: 서비스를 신규 요청하는 경우 선택
내용 고객 기본 정보 작성 및 신청 프로세스 안내 - 작성내용: End고객/MSP 정보
첨부파일 작성된 WAF 서비스 신청서(필수) 및 추가적으로 공유하고 싶은 파일이 있을 경우 업로드를 진행 - 첨부 파일은 각 5MB 이내의 파일을 최대 5개까지 첨부 가능
- doc, docx, xls, xlsx, ppt, ppts, hwp, txt, pdf, jpg, jpeg, png, gif, tif 파일만 첨부 가능
표. WAF 서비스 생성 요청 항목
- 작업 구분에서 WAF 생성을 선택하세요.
신청 프로세스 및 참고사항을 확인한 후, 양식 다운로드 > 서비스 요청 양식 다운로드 버튼을 클릭하여 WAF 서비스 신청서를 다운로드하세요.
WAF 서비스 신청서를 작성하세요.
- 신청 정보와 관제 정보 탭의 항목별 설명을 참조하여, 필수 항목을 작성하세요.
구분 상세 내용 신청 정보 신청 구분, 사용 기간, 처리량 정보, 기본 정보 등 필수 항목 작성 관제 정보 WAF 서비스 신청 정보, SSL 인증서 정보 등 필수 항목 작성 - 공공향 고객은 작성 불필요
표. WAF 서비스 생성 신청 양식 주요 내용
- 신청 정보와 관제 정보 탭의 항목별 설명을 참조하여, 필수 항목을 작성하세요.
작성한 신청 양식을 첨부파일 영역에 첨부하세요.
서비스 요청 페이지에서 요청 버튼을 클릭하세요.
- 신청이 완료되면, Support Center > 서비스 요청 목록 페이지에서 신청한 내용을 확인하세요.
제출된 서비스 요청서를 관제 담당자가 확인한 후, 서비스 이용을 위한 프로세스를 진행합니다.
WAF 서비스가 개시됩니다.
WAF 해지하기
WAF 서비스 해지를 요청하려면 다음 절차를 따르세요.
- 모든 서비스 > Management > Support Center 메뉴를 클릭하세요. Support Center > Service Home 페이지로 이동합니다.
- Support Center Service Home 페이지에서 서비스 요청 버튼을 클릭하세요. 서비스 요청 목록 페이지로 이동합니다.
- 서비스 요청 목록 페이지에서 서비스 요청 버튼을 클릭하세요. 서비스 요청 페이지로 이동합니다.
- 서비스 요청 페이지에서 필수 입력 영역에 해당 정보를 입력하거나 선택하세요.
- 작업 구분에서 WAF 해지를 선택하세요.
입력 항목 상세 설명 제목 서비스 요청 내용의 제목을 입력 - 예시: WAF 서비스 해지 신청
리전 Samsung Cloud Platform의 위치를 선택 - Account에 해당하는 리전으로 자동 입력됨
서비스 서비스 카테고리와 서비스를 선택 - 서비스 카테고리: Security
- 서비스: WAF
작업 구분 요청하고자 하는 유형을 선택 - WAF 해지: 서비스를 해지하는 경우 선택
내용 고객 기본 정보 작성 및 신청 프로세스 안내 - 작성내용: End고객/MSP 정보
첨부파일 작성된 WAF 서비스 신청서(필수) 및 추가적으로 공유하고 싶은 파일이 있을 경우 업로드를 진행 - 첨부 파일은 각 5 MB 이내의 파일을 최대 5개까지 첨부 가능
- doc, docx, xls, xlsx, ppt, ppts, hwp, txt, pdf, jpg, jpeg, png, gif, tif 파일만 첨부 가능
표. 표. WAF 서비스 해지 요청 항목
- 작업 구분에서 WAF 해지를 선택하세요.
- 신청 프로세스 및 참고사항을 확인한 후, 양식 다운로드 > 서비스 요청 양식 다운로드 버튼을 클릭하여 WAF 서비스 신청서를 다운로드하세요.
- WAF 서비스 신청서를 작성하세요.
- 신청 정보와 관제 정보 탭의 항목별 설명을 참조하여, 필수 항목을 작성하세요.
구분 상세 내용 신청 정보 신청 구분, 사용 기간, 처래량 정보, 기본 정보 등 필수 항목 작성 관제 정보 서비스 전체 해지 시, 입력하지 않아도 됨 표. WAF 서비스 해지 신청 양식 주요 내용
- 신청 정보와 관제 정보 탭의 항목별 설명을 참조하여, 필수 항목을 작성하세요.
- 작성한 신청 양식을 첨부파일 영역에 첨부하세요.
- 서비스 요청 페이지에서 요청 버튼을 클릭하세요.
- 신청이 완료되면, Support Center > 서비스 요청 목록 페이지에서 신청한 내용을 확인하세요.
- 제출된 서비스 요청서를 관제 담당자가 확인한 후, 관제 대상 URL, Port, IP가 삭제되면 해지 처리를 완료합니다.
- 서비스 해지는 해지 신청일을 포함하여 영업일을 기준으로 3일이 소요됩니다.
2.1 - WAF 구축 프로세스 안내
WAF 서비스 개시를 위해서는 서비스 신청 후 WAF 라이선스 설치 및 관제 연동 점검 작업이 필요합니다. WAF 서비스를 신청하면 담당자가 서비스 요청 내역 확인 후 연락을 드립니다. 아래 프로세스를 참고해 WAF 서비스를 신청하세요.
안내
WAF 설치는 SDS 엔지니어가 직접 지원하며, 고객사와 구성/사양 등을 협의 후 진행합니다.
- 전체 프로세스 진행 일정을 고려해 최소 서비스 오픈 1개월 전(영업일 기준)에 서비스를 신청하세요.
1. 사전 준비 작업
WAF 서비스를 이용하기 위한 사전 준비 작업은 다음 절차에 따라 진행됩니다.
- WAF 설치를 서비스 요청으로 신청하세요.(MSP → SDS)
- WAF SW 설치를 요청하세요.(SDS → 엔지니어)
- WAF 설치 작업을 위해 엔지니어 정보를 전달하세요.(SDS → MSP)
2. Samsung Cloud Platform Console 작업 (MSP 수행)
WAF 서비스를 이용하기 위해 Samsung Cloud Platform Console에서는 다음 작업을 진행합니다.
- Certificate Manager 서비스에서 SSL 인증서를 등록하세요.
- 신청 경로: Samsung Cloud Platform Console > Security > Certificate Manager
- 용도: 운영
- WAF용 Virtual Server 서비스를 생성하세요.
- 신청 경로: Samsung Cloud Platform Console > Compute > Virtual Server
- WAF 사양에 따라 CPU/Memory/Block Storage 용량 확정
- WAF Virtual Server 사양: 견적서 확인
- Load Balancer 서비스를 생성하세요.
- 신청 경로: Samsung Cloud Platform Console > Networking > Load Balancer
- SSL Offloading을 위해 L7 서비스를 생성하세요.
- WAF 이중화로 부하 분산 필요 시 L4 서비스를 생성하세요.
- WEB 서버 이중화로 부하 분산 필요 시 L4 서비스를 생성하세요.
- 필요한 Load Balancer/Firewall/Security Group을 설정하세요.
- Load Balancer의 통신 경로에 맞는 Firewall과 Security Group을 다음과 같이 설정하세요.
- 출발지는 사용자 네트워크 정보를 입력합니다.
구분 공통보안존 FW Internet Gateway FW Load Balancer FW Virtual Server SG Inbound (목적지) LB 서비스 공인 IP LB 서비스 사설 IP LB 서비스 사설 IP LB Link IP IP (예시) 123.43.8.xxx 10.10.0.xxx 10.10.0.xxx 192.168.254.xxx 포트 LB 서비스 포트 LB 서비스 포트 LB 서비스 포트 전달/헬스 체크 포트 표. Load Balancer의 통신 경로에 따른 FW/SG 설정 항목
- LB 서비스의 HTTP 리디렉션을 설정하세요. (옵션)
- Load Balancer의 HTTP 리디렉션 항목은 다음과 같이 설정하세요.
LB 서비스 L7 HTTP L7 HTTPS LB 프로파일 > 프로파일 유형 애플리케이션 애플리케이션 LB 프로파일 > 서비스 구분 L7 HTTP L7 HTTP LB 프로파일 > HTTP 리디렉션 설정 미설정 IP/NAT IP 동일하게 설정 동일하게 설정 서비스 포트 80 443 전달 포트 80 80 서버 그룹 > WAF 사용 시 미설정 WAF Virtual Server 서버 그룹 > WAF 미사용 시 미설정 WEB Virtual Server 인증서 등록 미등록 등록 표. Load Balancer의 HTTP 리디렉션 설정 항목
- Load Balancer의 HTTP 리디렉션 항목은 다음과 같이 설정하세요.
- WAF용 Virtual Server에 WAF 엔지니어의 접근 권한을 부여하세요.
3. WAF SW 설치 및 테스트(WAF 엔지니어 & MSP)
WAF 사양이 확정되면 엔지니어가 WAF 소프트웨어를 설치하고 테스트를 진행합니다.
4. WAF 보안관제를 위한 정책 요청 및 반영
WAF 보안 관제에 필요한 정책을 생성하고 적용합니다.
- Samsung Cloud Platform Console에서 필요한 정책을 요청하세요.(SDS → MSP)
- 생성한 정책을 전달하고 적용하세요.(SDS → MSP)
- 정책 등록이 필요한 내역을 확인하세요.(Direct Connect Firewall/Security Group/라우팅)
- SDS → 고객사별 WAF 접속 경로가 확보되었는지 확인합니다. 추가 등록이 필요하다면 메일로 요청하세요.
- 고객사별 WAF → SIEM 로그 전송 경로가 확보되었는지 확인합니다. 추가 등록이 필요하다면 메일로 요청하세요.
제약 사항
WAF 설치 시 다음 제약 사항을 먼저 확인하고 진행하세요.
- WAF 단일 구성 시 WAF 설치 Virtual Server 또는 WAF 애플리케이션 장애 시 서비스 연속성을 보장할 수 없습니다.(Samsung Cloud Platform LB와 WAF는 bypass 미지원)
- WAF 적용 대상 웹사이트의 서비스 가용성이 중요한 경우 WAF 이중화 적용이 필요합니다. WAF 이중화 적용이 필요한 경우 별도로 요청해야 합니다.
- Samsung Cloud Platform 서비스를 통한 보안관제는 펜타시큐리티 상품만 제공합니다.
- 마켓플레이스에 다른 벤더 상품이 등록되어 있으나 삼성SDS 보안관제 서비스는 제공하지 않습니다.