반응형
보안설계에서 중요한 키워드 WAF, Zero Trust Network
1. WAF (Web Application Firewall)
정의
웹 애플리케이션 계층(L7)의 보안 방화벽
HTTP 요청/응답을 검사해서 악의적인 공격을 차단하는 역할
WAF가 막아주는 공격 유형:
공격 설명
| SQL Injection | 쿼리에 악성 코드 삽입 시도 |
| XSS (크로스 사이트 스크립팅) | 자바스크립트 삽입 공격 |
| CSRF | 인증된 사용자의 권한 도용 |
| 경로 탐색(Path Traversal) | 파일 시스템 침투 시도 |
| 봇 트래픽 차단 | 스크래퍼, 크롤러, 무차별 대입 공격 차단 등 |
WAF는 어디에 위치하냐면:
[클라이언트]
↓
[WAF] ← 모든 HTTP 요청 검사
↓
[웹 서버 / 프록시 서버]
↓
[WAS]
WAF 종류
구분 예시
| 하드웨어 | F5 ASM, Imperva |
| 소프트웨어 | ModSecurity (Apache/Nginx), NAXSI |
| 클라우드형 | AWS WAF, Cloudflare WAF, Azure WAF |
2. Zero Trust Network (제로 트러스트 네트워크)
정의
"절대 아무도 신뢰하지 마라.
네트워크 내부든 외부든 모든 요청을 검증하고 최소한의 권한만 허용하라."
핵심 개념:
개념 의미
| No implicit trust | 내부망이라고 무조건 믿지 않음 |
| 모든 요청 인증/인가 | 사용자, 장치, 앱 단위 인증 필수 |
| 최소 권한 원칙 | 필요한 자원에만 접근 가능 |
| 세션 기반 보안 | 로그인 이후에도 지속적 확인 (MFA, 토큰 검사 등) |
Zero Trust 흐름 예시:
[사용자 또는 디바이스 요청]
↓
[인증 시스템 (IDP, MFA 등)]
↓
[Zero Trust 게이트웨이 (ZTNA Proxy)]
↓
[애플리케이션]
구성 요소 예시:
요소 예시
| ID 관리 | Okta, Azure AD |
| 접근 제어 | Zscaler, Cloudflare Zero Trust, Tailscale |
| 정책 엔진 | Google BeyondCorp, Istio (서비스메쉬) |
WAF vs Zero Trust 비교
항목 WAF Zero Trust
| 방어 대상 | 웹 애플리케이션 | 네트워크 전체 (사용자/디바이스/앱 등) |
| 작동 계층 | L7 (HTTP) | 전 계층 (ID, 네트워크, 앱, 세션 등) |
| 보안 방식 | 패턴 매칭, 룰 기반 | 인증, 정책, 신뢰 검증 |
| 목적 | 공격 차단 (XSS, SQLi 등) | 접근 제한 + 인증 기반 통제 |
| 설치 위치 | 웹 서버 앞단 | 네트워크 게이트웨이, 클라이언트 단 등 |
한 줄 정리
용어 요약
| WAF | 웹 공격 막는 L7 보안 필터 |
| Zero Trust | "내부망도 믿지 마" 철학으로 모든 요청을 지속적으로 검증 |
반응형
'공부 > CS' 카테고리의 다른 글
| HLS 프로토콜 (1) | 2025.06.02 |
|---|---|
| API Gateway (0) | 2025.03.24 |
| 워터마크 기술 개념 (0) | 2025.03.03 |
| 아키텍처 간략 정리 (0) | 2025.01.05 |
| 언어별 연산 속도 (0) | 2024.12.30 |