OWASP Top 10 위험 해결
개요
OWASP Top 10은 개발자 및 웹 애플리케이션 보안을 위한 표준 인식 문서입니다. 이는 웹 애플리케이션에 대한 가장 중요한 보안 위험에 대한 광범위한 합의에 해당합니다. OWASP Top 10 위험은 AWS에서 제공하는 도구 및 지침을 통해 해결할 수 있습니다. 예를 들어, Well Architected 프레임워크의 보안 원칙은 기업이 보안 설계를 구축하는 데 도움이 됩니다. AWS WAF는 OWASP Top 10에 나열된 일부 위험에 대한 첫 번째 방어 계층으로 사용되는 중요한 도구입니다.
위협 모델링 및 침투 테스트(Pen Testing)
OWASP Top 10 위험을 해결하기 위한 첫 번째 단계는 애플리케이션이 직면한 위협을 모델링하는 것입니다. 예를 들어 애플리케이션과 관련된 위협을 식별해야 합니다. SQLi 위협은 대부분 SQL 데이터베이스가 있는 애플리케이션과 관련이 있습니다. 그런 다음 각 위협에 대해 위협을 완화할 방법을 고려합니다(예: 어떤 도구를 사용할지, 어떤 수준까지 완화할지...). OWASP Top 10에는 CORS 구성 및 기타 보안 헤더, 인증 및 권한 관리, CI/CD 파이프라인의 데이터 무결성 등과 같이 애플리케이션에서 해결할 수 있는 위협이 포함됩니다. 또한 AWS WAF를 사용하여 해결할 수 있는 위협도 포함됩니다.
정기적으로 애플리케이션에 침투 테스트를 수행하면 보안 상태를 평가하고 개선할 새로운 기회를 발견하는 데 도움이 됩니다. 자동화된 침투 테스트를 사용하거나 애플리케이션에서 침투 테스트 활동을 수행할 수 있는 AWS 파트너와 협력할 수 있습니다. AWS Marketplace에서 이러한 도구 및 서비스를 찾을 수 있습니다.
AWS WAF
AWS WAF는 위협 모델링 실습에서 식별된 몇 가지 위험을 해결하는 데 도움을 줄 수 있습니다. 예를 들어, 차단된 액세스 제어에서는 퍼블릭 리소스를 제외하고는 기본적으로 요청을 거부하는 것이 좋습니다. 이는 기본 작업을 차단으로 설정하고 퍼블릭 리소스에 해당하는 URL을 명시적으로 허용하여 AWS WAF에서 구현할 수 있습니다.
AWS WAF에서 구성하는 사용자 지정 규칙 외에도 Amazon 관리형 규칙(AMR)을 사용하는 것이 좋습니다. (AMR)은 OWASP Top 10에서 영감을 받은 규칙 세트로, AWS 위협 연구팀에서 유지 관리합니다. 가장 흔하고 심각도가 높은 위협으로부터 애플리케이션을 보호하는 동시에 모든 고객에 대해 오탐률을 매우 낮게 유지하도록 설계되었습니다. AWS 위협 연구팀은 AMR 규칙을 정기적으로 테스트하여 AMR 규칙이 효과적이고 최신 상태로 유지되는지 확인하며, 고객과 직접 협력하여 AMR을 개선합니다. AMR에는 기준 규칙 그룹과 사용 사례별 규칙 그룹(예: SQL, Linux 등)이 있습니다. AMR은 OWASP Top 10 위험에 대한 적용 범위를 강화하는 데 도움이 되지만 위협 모델링 실습을 대체할 수는 없습니다.
AWS Marketplace의 OWASP Top 10에서 영감을 받은 관리형 규칙도 고려해 볼 수 있습니다. 여기에는 CSC의 HighSecurity OWASP Set, F5의 Web exploits OWASP 규칙, Fortinet의 Complete OWASP top 10 rulegroup이 포함됩니다.