보안 프로파일

보안 프로파일은 일반적으로 보안 정책을 시행하기 위해 네트워크 트래픽에 적용되는 규칙 및 설정 집합을 가리킵니다. 프로파일에는 다음과 같은 보호 조치가 포함됩니다.

  • 방화벽 규칙

  • IPS(침입 방지 시스템)

  • 안티바이러스/안티멀웨어

  • 웹 필터링

  • 데이터 손실 방지(DLP)

  • 애플리케이션 제어

이러한 특정 프로파일은 일반적으로 정책 규칙, 정책 규칙 집합 또는 정책 규칙 집합 그룹에 추가되고 우선순위에 따라 정렬됩니다.

암호 해독 프로파일

해독 프로파일은 리버스 프록시 또는 포워드 프록시 시나리오에서 Multicloud Defense 게이트웨이에 의해 사용됩니다. 연결이 프록시되면 프런트엔드 세션은 게이트웨이에서 종료되고, 서버에 새 백엔드 세션이 설정됩니다. 이러한 종료의 목적은 트래픽을 암호 해독하고 검사하여 악의적인 활동으로부터 보호하기 위한 것입니다. 암호화된 트래픽을 해독하려면 Decryption Profile(암호 해독 프로파일)이 필요합니다.

암호 해독 프로파일의 TLS 버전

Multicloud Defense 게이트웨이은 TLS 1.0, TLS 1.1, TLS 1.2 및 TLS 1.3의 모든 TLS 버전을 지원합니다. 사용자는 사용할 최소 TLS 버전을 지정할 수 있으며, Multicloud Defense 게이트웨이은(는) 지정된 최소 TLS 버전 이상인 TLS 버전을 협상합니다. 게이트웨이는 TLS 협상 시 항상 가능한 최고 TLS 버전과 가장 강력한 암호 그룹을 함께 사용합니다. Multicloud Defense 게이트웨이가 지정된 최소 TLS 버전을 충족하는 버전을 협상할 수 없는 경우, 게이트웨이는 세션을 종료하고 TLS_ERROR 이벤트를 기록합니다.


Note

게이트웨이에는 단일 최소 TLS 버전만 적용할 수 있습니다. 정책 규칙 집합 또는 정책 규칙 집합 그룹 내에서 사용되는 모든 서비스 개체에서 참조하는 모든 암호 해독 프로파일에 일관된 최소 TLS 버전을 사용해야 합니다. 다른 최소 TLS 버전이 지정된 경우, 적용할 최소 TLS 버전을 미리 결정할 수 없습니다.

암호 그룹

Multicloud Defense 게이트웨이는 사용자가 선택 가능한 기본 암호 그룹 집합을 지원합니다. 기본 집합은 항상 선택되는 PFS 암호 그룹입니다. 사용자 선택 가능한 집합은 Diffie-Hellman 및 PKCS(RSA) 암호 그룹(사용자가 선택할 수 있음)입니다. 결합된 암호 그룹 집합(기본 및 사용자 선택)은 게이트웨이에서 안전한 프런트 엔드 암호화 세션을 설정하는 데 사용됩니다. 클라이언트는 선호하는 암호 그룹의 순서가 지정된 목록을 전송합니다. 게이트웨이는 클라이언트가 제출한 순서가 지정된 집합과 게이트웨이에서 사용 가능한 집합에서 선택한 암호 그룹으로 응답합니다. 클라이언트가 서버가 순서를 정의하도록 허용하는 경우, 게이트웨이에서 사용 가능한 순서가 지정된 집합과 클라이언트가 제출한 집합에서 암호 그룹을 선택합니다.

버전 24.10 이상에서 Multicloud Defense 컨트롤러는 최소 TLS 버전을 선택하면 가장 강력한 암호 그룹을 자동 선택하여 해독 프로파일 생성을 지원합니다. Multicloud Defense 컨트롤러Multicloud Defense 게이트웨이는 모두 버전 24.10 이상을 실행해야 합니다. 게이트웨이 버전은 이 자동화된 도움말 기능을 지원하지 않으며 기존 해독 프로파일의 암호 그룹을 편집할 수 없습니다. 이 기능을 활용하려면 게이트웨이를 버전 24.10 이상으로 업데이트하는 것을 강력히 권장합니다.

다음은 게이트웨이에서 지원하고 암호 해독 프로파일에서 사용 가능한 암호 그룹의 순서가 지정된 목록입니다.

카테고리

암호 그룹

키 교환

암호화

해시

기본

PFS

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA

AES256-GCM

SHA384

PFS

ECDHE-RSA-AES256-CBC-SHA384

ECDHE-RSA

AES256-CBC

SHA384

Diffie-Hellman

DH-RSA-AES256-GCM-SHA384

DH-RSA

AES256-GCM

SHA384

PFS

DHE-RSA-AES256-GCM-SHA384

DHE-RSA

AES256-GCM

SHA384

PFS

DHE-RSA-AES256-CBC-SHA256

DHE-RSA

AES256-CBC

SHA384

PFS

DHE-RSA-AES256-CBC-SHA

DHE-RSA

AES256-CBC

SHA

Diffie-Hellman

DH-RSA-AES256-SHA256

DH-RSA

AES256-CBC

SHA256

Diffie-Hellman

DH-RSA-AES256-SHA

DH-RSA

AES256-CBC

SHA160

PKCS(RSA)

AES256-GCM-SHA384

PKCS-RSA

AES256-GCM

SHA384

PKCS(RSA)

AES256-SHA256

PKCS-RSA

AES256-CBC

SHA256

PKCS(RSA)

AES256-SHA

PKCS-RSA

AES256-CBC

SHA160

PFS

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-RSA

AES128-GCM

SHA256

PFS

ECDHE-RSA-AES128-CBC-SHA256

ECDHE-RSA

AES128-CBC

SHA256

Diffie-Hellman

DH-RSA-AES128-GCM-SHA256

DH-RSA

AES128-GCM

SHA256

PFS

DHE-RSA-AES128-GCM-SHA256

DHE-RSA

AES128-GCM

SHA256

PFS

DHE-RSA-AES128-CBC-SHA256

DHE-RSA

AES128-CBC

SHA256

Diffie-Hellman

DH-RSA-AES128-SHA256

DH-RSA

AES128-CBC

SHA256

Diffie-Hellman

DH-RSA-AES128-SHA

DH-RSA

AES128-CBC

SHA160

PKCS(RSA)

AES128-GCM-SHA256

PKCS-RSA

AES128-GCM

SHA256

PKCS(RSA)

AES128-SHA256

PKCS-RSA

AES128-CBC

SHA256

PKCS(RSA)

AES128-SHA

 PKCS-RSA

AES128-CBC

SHA160

PFS

ECDHE-RSA-DES-CBC3-SHA

ECDHE-RSA

DES-CBC3

SHA

PFS

ECDHE-RSA-RC4-SHA

ECDHE-RSA

RC4

SHA

PKCS(RSA)

RC4-SHA

PKCS-RSA

RC4

SHA160

PKCS(RSA)

RC4-MD5

PKCS-RSA

RC4

SHA160

암호 해독 프로파일 생성

다음 절차에 따라 암호 해독 프로파일을 생성합니다.

Procedure

Step 1

으로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Profile Name(프로파일 이름)Description(설명)을 지정합니다.

Step 4

Certificate Method(인증서 방법)으로 Select Existing(기존 선택)을 선택합니다.

Step 5

Certificate(인증서)로 원하는 인증서를 선택합니다.

Step 6

Min TLS Version(최소 TLS 버전)에서 암호 해독 프로파일이 허용하는 가장 낮은 TLS 버전을 선택합니다. 기본값은 TLS 1.0입니다.

Step 7

기본값 이외의(비 PFS) 암호 그룹을 사용하는 경우 Diffie-Hellman 또는 PKCS (RSA) 메뉴에서 원하는 암호 그룹 집합을 선택합니다. Multicloud Defense 컨트롤러는 6단계에서 선택한 최소 TLS 버전에 따라 사용 가능한 암호 그룹을 필터링하여 가장 강력한 암호만 나열되도록 합니다.

Step 8

Save(저장)를 클릭합니다.

What to do next

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

네트워크 침입(IDS/IPS) 프로파일

네트워크 침입 프로파일은 트래픽이 악의적이지 않은지 확인하는 트랜잭션을 평가하는 데 사용할 수 있는 침입 탐지 및 보호(IDS/IPS) 규칙 컬렉션입니다.

IDS(침입 탐지 시스템)는 네트워크 이벤트를 모니터링하고 분석하여 보안 사고 및 임박한 위협, 특히 악의적인 트랜잭션과 같은 의심스러운 비정상적인 활동을 탐지하고 관찰되는 경우 즉시 알림을 전송하는 솔루션으로 정의됩니다. IDS는 호스트와 네트워크를 검색합니다.

IPS(Intrustion Protection System)는 네트워크 트래픽을 적극적으로 분석하여 알려진 공격 패턴 및 서명과 비교합니다. 시스템은 의심스러운 트래픽을 탐지하면 네트워크에 진입하는 것을 차단합니다. IPS 규칙은 네트워크 기반 IP와 호스트 기반 IP를 모두 포함합니다.

Multicloud Defense은 단일 프로파일 내에 이 두 시스템을 결합하여 구성하기 쉬운 네트워크 침입 프로파일을 생성하여 악의적인 프로브 또는 악성 트래픽을 탐지, 거부 및 보고하는 감염된 시스템의 새로운 네트워크 패턴을 탐지합니다. 차단 및 보고는 네트워크의 다운타임을 완화하고 향후 차단 활동을 더욱 개선할 수 있습니다. Multicloud Defense의 네트워크 침입 프로파일은 다음 규칙 집합으로 구성됩니다.

Table 1. Multicloud Defense에서는 다음 IDS/IPS 규칙 집합을 지원합니다.

규칙 집합

설명

Talos 규칙

Rules규칙은 애플리케이션 및 프레임워크에 고급 수준의 보호를 제공하는 실제 조사, 침입 테스트 및 연구를 통해 수집된 인텔리전스를 기반으로 하는 Cisco의 고급 규칙 집합입니다.

IDS/ IPS 프로파일에는 악의적일 수 있는 웹 애플리케이션이 포함되어 있지 않습니다. 자세한 내용은 웹 애플리케이션 방화벽(WAF) 프로파일를 참조하십시오.

IDS/IPS 프로파일 생성

다음 절차에 따라 IPS/IDS 프로파일을 생성하고 규칙 집합에 추가합니다.

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

General Settings(일반 설정) 탭을 클릭합니다.

Step 4

고유 Profile Name(프로파일 이름)을 입력합니다.

Step 5

(선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름의 프로파일을 구분하는 데 도움이 될 수 있습니다.

Step 6

IDS/IPS 프로파일이 악성 활동을 탐지하는 경우 위협 PCAP 옵션 파일을 토글합니다. 이 옵션을 켜는 경우 게이트웨이에 PCAP 프로파일이 연결되어 있어야 합니다.

Step 7

일반 설정의 Rule Set(규칙 집합) 섹션에서 규칙 라이브러리(Talos, 맞춤형)의 규칙 세트가 IDS/IPS 프로파일에 하나 이상 지정되어 있어야 합니다. Talos 규칙 및 맞춤형 규칙 집합을 사용하는 경우, 둘 중 하나 이상을 활성화해야 합니다. 전체 IDS/IPS 프로파일을 비활성화하려는 경우 정책 규칙 집합에서 IDS/IPS 프로파일을 제거하면 IDS/IPS 프로파일이 평가되지 않습니다. 드롭다운 메뉴를 사용하여 이 프로파일 내의 모든 규칙에 적용되는 다음 설정 중 하나를 선택합니다.

  • Disabled(비활성화됨) - Talos 규칙 사용을 비활성화할지 여부를 지정합니다.

  • Manual(수동) - Talos 규칙 버전을 지정합니다.

  • Automatic(자동) - 게시 날짜로부터 최신 Talos Rules 버전으로의 자동 업데이트를 연기할 기간(일)을 지정합니다.

다른 드롭다운 메뉴를 사용하여 이 프로파일의 규칙을 업데이트할 시기를 선택합니다. Talos가 업데이트를 전송한 직후 또는 업데이트 며칠 후에 규칙 집합을 업데이트하도록 선택할 수 있습니다.

Step 8

Talos Rules: Policy(Talos 규칙: 정책)를 클릭하고 표에서 기본으로 사용할 정책 프로파일을 선택합니다. 프로파일은 하나만 선택할 수 있습니다.

창 보기가 최대화되지 않은 경우, 창의 오른쪽으로 스크롤하여 선택한 프로파일에 대해 작업을 할당합니다.

  • Rule Default(규칙 기본값) - 트리거된 각 규칙에 지정된 작업에 따라 요청을 허용하거나 거부하고 이벤트를 로깅합니다.

  • Allow Log(허용 로그) - 요청을 허용하고 이벤트를 로깅합니다.

  • Allow No Log(허용 로그 없음) - 요청을 허용하고 이벤트를 로깅하지 않습니다.

  • Deny Log(거부 로그) - 요청을 거부하고 이벤트를 로깅합니다.

  • Deny No Log(거부 로그 없음) - 요청을 거부하고 이벤트를 로깅하지 않습니다.

Step 9

Talos Rules: Category(Talos 규칙: 범주) 탭을 클릭하고 표에서 프로파일에 있는 범주를 하나 이상 선택합니다.

Step 10

Talos rules: Class(Talos 규칙: 클래스) 탭을 클릭하고 표에서 프로파일에 대한 클래스를 하나 이상 선택합니다.

Step 11

화면 상단에서 Advanced Settings(고급 설정) 탭을 클릭합니다.

Step 12

Rule Supression(규칙 억제)에서 Add(추가)를 클릭하고 IP 주소의 유효한 Source IP/CIDR List(소스 IP/CIDR 목록) 및 해당 Rule ID List(규칙 ID 목록)를 입력합니다. 일련의 목록을 제거하려면 행 오른쪽의 빼기 아이콘을 클릭합니다.

Step 13

Event Filtering: Profile Event Filtering(이벤트 필터링: 프로파일 이벤트 필터링)에서 다음 정보를 입력합니다.

  • Type(유형) - 속도 또는 샘플을 선택할 수 있습니다. 생성된 이벤트는시간 평가 간격(초) 동안 지정된 트리거 Number of Events(이벤트 수)에 따라 속도 또는 샘플 제한이 적용됩니다.

  • Number of Events(이벤트 수) - 허용되는 이벤트 수의 값을 수동으로 입력합니다.

  • (속도 유형에서 사용 가능) Time (Seconds)(시간(초)) - 숫자 값을 초 단위로 입력합니다.

Step 14

Event Filtering: Rule Event Filtering(이벤트 필터링: 규칙 이벤트 필터링)에서 Add(추가)를 클릭합니다. 다음 정보를 입력합니다.

  • Rule ID List(규칙 ID 목록) - 쉽표로 구분된 규칙 ID 목록을 지정합니다.

  • Number of Events(이벤트 수) - 허용되는 이벤트 수의 값을 수동으로 입력합니다.

  • (속도 유형에서 사용 가능) Time (Sec)(시간(초)) - 숫자 값을 초 단위로 입력합니다.

  • Type(유형) - 속도 또는 샘플을 선택합니다. 생성된 이벤트는 시간 평가 간격(초) 동안 지정된 트리거 이벤트 수에 따라 속도 또는 샘플 제한이 적용됩니다.

Step 15

고급 설정의 Rule Setting List (규칙 설정 목록) 섹션에서 Add (추가)를 클릭하고 다음을 입력합니다.

  • Source IP/CIDR List(소스 IP/CIDR 목록) - 쉼표로 구분된 IP 또는 CIDR 목록을 제공합니다.

  • Rule ID List(규칙 ID 목록) - 쉼표로 구분된 규칙 ID 목록을 제공합니다. 많은 수의 규칙에는 규칙 ID만 필요합니다. 수가 적은 규칙의 경우, 규칙 ID에 GID 및 ID를 GID:ID로 지정해야 합니다. 예를 들면 119:3와 같습니다.

  • Action(작업) - 소스 IP/CIDR 목록 또는 규칙 ID 목록이 트리거되는 경우의 작업을 선택합니다. 규칙이 억제되면 어떤 작업도 수행되지 않으며 로그가 전송 또는 캡처되지 않습니다.

    • Allow Log(허용 로그) - 요청을 허용하고 이벤트를 로깅합니다.

    • Allow No Log(허용 로그 없음) - 요청을 허용하고 이벤트를 로깅하지 않습니다.

    • Deny Log(거부 로그) - 요청을 거부하고 이벤트를 로깅합니다.

    • Deny No Log(거부 로그 없음) - 요청을 거부하고 이벤트를 로깅하지 않습니다.

What to do next

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

데이터 손실 방지(DLP) 프로파일

데이터 손실 방지(DLP) 프로파일은 Multicloud Defense 솔루션이 포워드 프록시(이그레스) 모드로 구축될 때 데이터에서 유출 패턴을 찾는 것을 탐지하고 조치를 취하는 정책 규칙을 지정할 수 있는 기능을 Multicloud Defense 고객에게 제공합니다.

Multicloud Defense은(는) 고객이 이를 통해 맞춤형 PCRE 기반 정규식 패턴 외에도 사회 보장 번호(SSN), AWS 비밀번호, 신용카드 번호와 같은 사전 패키징된 일반적인 데이터 패턴을 지정할 수 있도록 합니다. 따라서 쉽게 PCI, PII 및 PHI 데이터에 대한 보호를 시행하여 규정 준수 요건을 충족할 수 있습니다. 이 기능은 별도의 DLP 서비스가 필요하지 않은 기존 Multicloud Defense 기능 집합과 통합됩니다.

데이터 손실 방지 프로파일 생성

프로시저

단계 1

로 이동합니다.

단계 2

Create Intrusion Profile(침입 프로파일 생성)을 클릭합니다.

단계 3

Data Loss Prevention(데이터 손실 방지)을 선택합니다.

단계 4

프로파일의 고유한 이름을 제공하고 설명을 입력합니다.

단계 5

테이블에 DLP 필터 목록을 입력합니다.

단계 6

필요에 따라 행을 더 삽입하려면 Add(추가)를 클릭합니다.

단계 7

필터에 대한 설명을 제공합니다.

단계 8

드롭다운 목록에서 사전 정의된 정적 패턴(예: CVE 번호)을 선택하거나 사용자 정의 정규식을 제공합니다.

단계 9

카운트를 입력하여 트래픽에서 패턴이 표시되어야 하는 횟수를 정의합니다.

단계 10

패턴이 개수와 일치하는 경우 수행할 작업을 선택합니다.

참고

 

패턴이 더 제한적이므로 AWS 액세스 키 및 AWS 암호 키에 대해 사전 정의된 패턴이 DLP 검사에서 일치하지 않는 경우가 있습니다. DLP 프로파일에서 다음과 같은 완화된 사용자 지정 패턴을 사용하여 AWS 액세스 키와 AWS 암호 키를 탐지합니다. 이렇게 하면 오탐 로그 이벤트가 생성될 수 있습니다.

AWS 액세스 키: (?<![A-Z0-9])[A-Z0-9]{20}(?![A-Z0-9])

AWS 암호 키: (?<![AZa-z0-9/+=])[A-Za-z0-9/+=]{40}(?![A-Za-z0-9/+=])

다음에 수행할 작업

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

Anti-Malware Profile

안티멀웨어 프로파일은 모든 수신 데이터를 검사하여 멀웨어가 설치되고 컴퓨터를 감염시키는 것을 방지함으로써 멀웨어 공격을 방지합니다. 안티멀웨어 프로그램은 또한 지능형 형태의 멀웨어를 탐지하고 랜섬웨어 공격으로부터 보호할 수 있습니다. Talos ClamAV 바이러스 탐지 엔진은 프로파일의 많은 부분을 차지합니다. ClamAV®는 트로이 목마, 바이러스, 악성코드 및 기타 악성 위협을 탐지하기 위한 안티바이러스 엔진입니다.

사용 중인 ClamAV의 현재 버전은 1.4입니다.

안티멀웨어 프로파일을 생성하는 경우, 프로파일을 규칙에 구성하여 정책에 즉시 추가하는 것을 강력히 권장합니다.

안티맬웨어 프로파일 생성

프로시저

단계 1

로 이동합니다.

단계 2

Anti-malware(악성코드 차단)를 선택합니다.

단계 3

고유한 이름을 입력하고 설명을 입력합니다.

단계 4

Talos 규칙 집합에 대해 다음 모드 중 하나를 선택합니다.

  • Manual Mode(수동 모드) - 드롭다운에서 Talos Ruleset Version(Talos 규칙 집합 버전)을 선택합니다. 선택한 규칙 집합 버전은 이 프로파일을 사용하는 모든 게이트웨이의 Multicloud Defense 데이터 경로 엔진에 의해 사용되며 최신 규칙 집합 버전으로 자동 업데이트되지 않습니다.

  • Automatic(자동) 모드 - Multicloud Defense에서 규칙 집합 버전을 게시한 후 구축을 며칠 단위로 지연할지 선택합니다. Multicloud Defense에서는 새 규칙 집합을 매일 게시하며 이 프로파일을 사용하는 게이트웨이는 N일 이상의 최신 규칙 집합 버전으로 자동 업데이트됩니다. 여기서 N은 드롭다운에서 선택한 "delay by days(지연 일수)" 인수입니다. 예를 들어 2024년 1월 10일의 구축을 5일 연기하도록 선택하는 경우 Multicloud Defense 컨트롤러은(는) 1월 5일 또는 그 이전에 게시된 규칙 집합 버전을 선택합니다. 해당 규칙 집합 버전에 대한 내부 테스트가 실패할 경우 Multicloud Defense이 특정 날짜에 게시되지 않을 수 있습니다.

단계 5

바이러스 서명과 일치하는 항목이 발견된 경우 수행할 작업을 선택합니다.

다음에 수행할 작업

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

웹 애플리케이션 방화벽(WAF) 프로파일

웹 보호 프로파일은 알려진 웹 애플리케이션 공격을 탐지하고 차단할 수 있는 WAF(Web Application Firewall) 규칙 컬렉션입니다. WAF 프로파일을 구성하여 시그니처와 제약 조건을 사용하여 웹 트래픽을 검사할 수 있습니다. 또한 지정된 패턴과 일치하는 HTTP 메서드를 제어하는 HTTP 메서드 정책을 시행할 수 있습니다. 또한 특히 교차 사이트 위조, 교차 사이트 스크립팅(XSS), 파일 포함, SQL 주입 등의 공격으로부터 웹 애플리케이션을 보호합니다.

Table 2. 지원되는 WAF 규칙 집합

규칙 집합

설명

핵심 규칙

핵심 규칙은 모든 웹 애플리케이션에 기본 보호 레벨을 제공하는 ModSecurity CRS(핵심 규칙 집합)의 표준 규칙 집합입니다.

TrustWave 규칙

TrustWave 규칙은 특정 웹 애플리케이션 및 프레임워크에 고급 수준의 보호를 제공하는 실제 조사, 침입 테스트 및 연구를 통해 수집된 인텔리전스를 기반으로 하는 ModSecurity의 고급 규칙 집합입니다.

맞춤형 규칙

사용자 지정 규칙은 사용자 지정 웹 애플리케이션에 특수 수준의 보호를 제공하며 고객이 작성한 특정 규칙 집합입니다.

WAF 프로파일은 악의적인 IP를 포함하지 않습니다. 자세한 내용은 악의적인 IP 프로파일네트워크 침입(IDS/IPS) 프로파일를 참고하십시오.

WAF 프로파일 생성

다음 절차에 따라 WAF 프로파일을 생성합니다.


Note

핵심 규칙 집합이 지정된 경우, 핵심 규칙을 비활성화할 수 없습니다. 핵심 규칙을 비활성화하려면 WAF 프로파일에서 모든 핵심 규칙 집합을 제거하여 평가되지 않도록 합니다.

Procedure

Step 1

Step 2

Create(생성)를 클릭합니다.

Step 3

다음 일반 설정을 지정합니다.

  1. 고유 Profile Name(프로파일 이름)을 입력합니다.

  2. (선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름의 프로파일을 구분하는 데 도움이 될 수 있습니다.

  3. 다음 작업을 지정합니다.

    • Rule Default(규칙 기본값) - 트리거된 각 규칙에 지정된 작업에 따라 요청을 허용하거나 거부하고 이벤트를 로깅합니다.

    • Allow Log(허용 로그) - 요청을 허용하고 이벤트를 로깅합니다.

    • Deny Log(거부 로그) - 요청을 거부하고 이벤트를 로깅합니다.

  4. WAF 프로파일이 악의적인 활동을 탐지하는 경우, 위협 HAR 파일을 생성할지 여부를 지정합니다. 이 기능을 사용하려면 게이트웨이에 Pcap 프로파일이 첨부되어 있어야 합니다.

  5. WAF 프로파일이 악의적인 활동을 탐지하는 경우 HTTP 요청 HAR 파일을 생성할지 여부를 지정합니다.

  6. RULE SETS(규칙 설정) 섹션의 왼쪽에 있는 세로 탭에서 Core Rules(핵심 규칙)을 클릭합니다. 규칙 라이브러리(Core, TrustWave, Custom)에서 하나 이상의 규칙 집합을 지정해야 합니다.

    • 다음 항목을 지정합니다.

      • Manual(수동) - 사용할 핵심 규칙 버전을 지정합니다.

      • Automatic(자동) - 게시 날짜로부터 최신 핵심 규칙 버전으로의 자동 업데이트를 지연하는 기간(일)을 지정합니다.

    • 프로파일에 추가할 규칙을 확인하고 Add to Profile(프로파일에 추가)을 클릭합니다. 선택 사항이 오른쪽 테이블에 표시됩니다.

  7. 왼쪽에 있는 세로 방향 탭에서 TrustWave Rules(TrustWave 규칙)를 클릭합니다.

    • 다음 항목을 지정합니다.

      • Disabled(비활성화됨) - Trustwave 규칙 사용을 비활성화할지 여부를 지정합니다.

      • Manual(수동) - 사용할 TrustWave 규칙 버전을 지정합니다.

      • Automatic(자동) - 게시 날짜로부터 최신 TrustWave Rules 버전으로의 자동 업데이트를 연기할 기간(일)을 지정합니다.

    • 프로파일에 추가할 규칙을 확인하고 Add to Profile(프로파일에 추가)을 클릭합니다. 선택 사항이 오른쪽에 있는 Profile Selections(프로파일 선택) 표에 표시됩니다.

  8. 왼쪽에 있는 세로 방향 탭에서 Custom Rules(맞춤형 규칙)를 클릭합니다.

    • 다음 옵션 중 하나를 지정합니다.

      • Disabled(비활성화됨) - 맞춤형 규칙 사용을 비활성화할지 여부를 지정합니다.

      • Manual(수동) - 사용할 맞춤형 규칙 버전을 지정합니다.

      • Automatic(자동) - 게시 날짜로부터 최신 맞춤형 규칙 버전으로의 자동 업데이트를 지연하는 기간(일)을 지정합니다.

    • 프로파일에 추가할 규칙을 확인하고 Add to Profile(프로파일에 추가)을 클릭합니다. 선택 사항이 오른쪽에 있는 Profile Selections(프로파일 선택) 표에 표시됩니다.

Step 4

창 상단으로 스크롤하고 Advanced Settings(고급 설정) 탭을 클릭합니다.

  1. "Rule Suppression(규칙 억제)"에서 Add(추가)를 클릭하여 규칙에 대한 행을 하나 이상 추가합니다. 특정 IP 또는 CIDR 목록에 대한 규칙을 억제할 수 있습니다.

    • Source IP/CIDR List(소스 IP/CIDR 목록)에서 쉼표로 구분된 IP 또는 CIDR 목록을 제공합니다.

    • Rule ID List(규칙 ID 목록)에 쉼표로 구분된 규칙 ID 목록을 제공합니다.

  2. "Event Filtering(이벤트 필터링)"에서 다음 정보를 제공합니다.

    • Type(유형) - Rate(속도) 또는 Sample(샘플)

    • 이벤트 수

    • 시간(초)

  3. "Rule Event Filtering(규칙 이벤트 필터링)"에서 Add(추가)를 클릭하여 규칙에 대한 행을 하나 이상 추가합니다. 생성하는 모든 행에 대해 유효한 Rule ID List(규칙 ID 목록), Number of Events(이벤트 수), Time (Sec)(시간(초))을 입력하고 유형 또는 샘플 중 하나를 Type(유형)으로 선택합니다.

  4. "Core Rule Set(핵심 규칙 집합)"에서 Request Anomaly(요청 이상 징후)Response Anomaly(응답 이상 징후) 모두에 대한 값을 선택합니다. "Request Anomaly(요청 이상 징후)"에 대해 3보다 작은 값을 사용하면 방대한 양의 알림이 생성됩니다.

  5. Paranoia Level(편집증 수준)을 선택합니다. 옵션 범위는 1~4입니다.

Step 5

Save(저장)를 클릭합니다.

What to do next

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

이벤트 필터링

WAF 프로파일이 트리거될 때 생성되는 보안 이벤트 수를 줄이기 위해, Advanced Settings(고급 설정)에서 이벤트 속도를 제한하거나 샘플링하도록 이벤트 필터링을 구성할 수 있습니다. 설정은 탐지 또는 보호 동작을 변경하지 않습니다.

Type(유형)을 Rate(속도)로 지정하면 생성되는 이벤트는 Time(시간) 평가 간격(초) 동안 트리거된 지정된 Number of Events(이벤트 수)에 따라 속도가 제한됩니다. 예를 들어 Number of Events(이벤트 수)가 50으로 지정되고 Time(시간)이 5초로 지정된 경우 초당 10개 이벤트만 생성됩니다.

Type(유형)을 Sample(샘플)로 지정하면 생성된 Events(이벤트)는 지정된 Number of Events(이벤트 수)를 기준으로 샘플링됩니다. 예를 들어 Number of Events(이벤트 수)가 10으로 지정된 경우, 트리거된 10개 이벤트마다 1개의 이벤트만 생성됩니다.

프로파일 이벤트 필터링

프로파일 이벤트 필터링은 WAF 프로파일에 설정된 모든 규칙에 적용됩니다.

  • Type(유형)을 Rate(속도) 또는 Sample(샘플)로 지정합니다.

    • Rate(속도) - Number of Events(이벤트 수)Time(시간) 평가 간격(초)을 지정합니다.

    • Sample(샘플) - Number of Events(이벤트 수)를 지정합니다.

규칙 이벤트 필터링

WAF 프로파일이 트리거될 때 생성되는 보안 이벤트 수를 줄이기 위해 이벤트 속도를 제한하거나 샘플링하도록 이벤트 필터링을 구성할 수 있습니다. 설정은 탐지 또는 보호 동작을 변경하지 않습니다.

규칙 이벤트 필터링은 WAF 프로파일에 구성된 특정 규칙에 적용됩니다.

프로시저

단계 1

Rule Event Filtering(규칙 이벤트 필터링) 아래에서 Add(추가)를 클릭합니다.

단계 2

Rule ID List(규칙 ID 목록)에서 쉼표로 구분된 Rule ID(규칙 ID) 목록을 지정합니다.

단계 3

Type(유형)을 Rate(속도) 또는 Sample(샘플)로 지정합니다.

  • Rate(속도) - Number of Events(이벤트 수)Time(시간) 평가 간격(초)을 지정합니다.

  • Sample(샘플) - Number of Events(이벤트 수)를 지정합니다.

다음에 수행할 작업

WAF 프로파일을 정책 규칙과 연결

레이어 7 DOS

레이어 7 DoS(Denial of Service) 프로파일은 애플리케이션 레이어 7 서비스 거부 공격으로부터 애플리케이션과 서비스를 보호하기 위해 설계된 네트워크 보안 구성입니다. 기존 네트워크 레이어 DoS 공격과 달리, 레이어 7 공격은 애플리케이션 계층을 악용하므로 더 복잡하고 탐지하기 어렵습니다. 이러한 복잡한 공격을 식별하고 완화하도록 레이어 7 DoS 프로파일을 특별히 맞춤 설정될 수 있습니다.

L7 DoS 프로파일 생성

Multicloud Defense 게이트웨이는 백엔드 웹 서버에 대한 클라이언트 요청을 지속적으로 모니터링하여 애플리케이션 계층 공격을 모니터링, 탐지 및 치료할 수 있는 기능을 제공합니다. 레이어 7 DoS 공격은 웹 서버 리소스를 고갈시키기 위한 것으로, 많은 HTTP 요청을 전송하여 서비스 가용성에 영향을 미칩니다. 이 기능은 웹 기반 애플리케이션의 가용성을 유지하기 위해 게이트웨이가 백엔드 웹 서비스에 대한 인바운드 연결을 프록시하도록 활성화된 경우 활성화됩니다. 이 기능을 활성화하면 프론트엔드 로드 밸런서가 지원하지 않거나 애플리케이션 DoS 공격을 탐지하고 교정하도록 최적화되지 않은 경우에도 게이트웨이가 추가적인 보안을 제공할 수 있습니다.

이 기능은 API 서비스를 호스팅하는 백엔드 웹 서버에 대한 DoS 보호도 제공합니다.

Procedure

Step 1

로 이동합니다.

Step 2

Layer 7 DOS를 선택합니다.

Step 3

고유한 프로파일 이름을 제공합니다.

Step 4

(선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름을 가질 수 있는 다른 프로파일을 구분하는 데 도움이 될 수 있습니다.

Step 5

요청 속도 제한을 추가합니다.

리소스에 대한 과도한 요청은 다음 매개변수를 기반으로 제한합니다. 이 매개변수의 값은 레이어 7 DoS 옵션으로 보호하려는 웹 서비스의 트래픽 패턴 측정 및 이해를 기반으로 해야 합니다.

Table 3. 매개변수

매개변수

설명

URI

리소스에 대한 요청을 제한하는 경로를 나타내는 데 사용되는 상대적 URI입니다. 예를 들어 https://www.example.com/login.html에서 서비스 리소스를 모니터링하고 보호하려는 경우 Request Rate Limits(요청 속도 제한) 테이블에 URI 매개변수로 /login.html을 입력합니다.

HTTP 메서드

리소스 URI당 HTTP 메서드를 지정하여 클라이언트 요청에서 속도가 제한되는 HTTP 메서드와 속도가 제한되지 않는 HTTP 메서드를 제어할 수 있습니다. 테이블의 각 행에 대해 드롭다운에서 여러 메서드를 선택할 수 있습니다. 빈 HTTP 메서드 목록은 메서드가 무시되고 속도가 리소스에 대한 모든 호출에 적용됨을 의미합니다.

Note

 

속도는 각 리소스별로 적용됩니다. 따라서 여러 메서드가 해당 행의 요청 속도에 지정된 속도 제한을 공유합니다. 예를 들어 속도가 매초 3개 요청이고 GET, POST 및 PUT이 HTTP 메서드에 지정되어 있으며 동일한 시간(초)에 단일 클라이언트 IP에서 해당 URI에 2개의 GET과 1개의 POST가 발생하는 경우, 같은 초에 PUT은 허용되지 않습니다.

요청 속도

1초당 요청 수 단일 클라이언트가 규칙의 URI 부분에 언급된 URI 리소스에 요청을 전송할 수 있는 속도를 결정합니다.

Burst Size(버스트 크기)

클라이언트가 규칙의 URI 부분에 언급된 URI 리소스에 전송할 수 있는 최대 동시 요청 수를 지정합니다. 이 임계값을 초과하며 동시에 프록시에 도착하는 요청은 백엔드 서버로 전송되지 않습니다.

Step 6

완료되면 Save(저장)를 클릭합니다. 규칙은 위에서 아래로 확인되고 첫 번째 일치에 적용되므로 URI를 기준으로 하면 규칙의 순서가 중요합니다. 목록의 상위에 추가된 URI가 그 아래에 있는 규칙의 리소스를 포함하는 리소스 경로를 포함하는 경우, 일치하는 첫 번째 규칙이 적용됩니다.

What to do next

URL(Uniform Resource Locator) 필터 프로파일

URL 필터링 프로파일은 HTTP 요청의 URL을 평가하고 트래픽을 허용 또는 거부하는 작업을 적용합니다. URL을 평가하려면 포워드 프록시 규칙으로 트래픽을 처리해야 합니다. 프로파일의 URL 집합은 전체 경로를 나타내는 문자열 또는 PCRE(Perl Compatible Regular Expression)를 나타내는 문자열로 지정할 수 있습니다. 도메인 필터링만 필요한 경우 FQDN 필터링 프로파일을 사용하는 것이 가장 좋습니다. FQDN 필터링 프로파일은 URL 필터링과 함께 사용할 수도 있습니다. 여기서 도메인은 FQDN 필터링 프로파일을 사용하여 평가되고 URL은 URL 필터링 프로파일을 사용하여 평가됩니다.

URL 필터링 프로파일은 사전 정의된 범주 집합을 사용할 수 있습니다. 범주에 대한 자세한 내용은 FQDN / URL 필터링 범주의 내용을 참조하십시오.


Note

URL 필터링은 2개의 기본 행(Uncategorized(미분류)ANY(모두)와 함께 사용자가 지정한 행(URL 및 Categories(범주))을 포함하는 테이블로 구성됩니다. 원하는 경우 각 행 내에서 범주와 URL을 결합할 수 있습니다.

각 URL 필터링 프로파일의 제한은 다음과 같습니다.

  • 사용자 지정 최대 행: 254(독립형 또는 독립형 그룹)

  • 행당 최대 범주 및 URL: 60

  • 최대 URL 문자 길이: 2048

다단계 도메인(예: 'www.example.com')을 지정할 때 '.' 문자를 이스케이프해야 합니다(예: 'www\.example\.com'). 그렇지 않으면 단일 문자에 대한 와일드카드로 처리됩니다.

미분류

  • Uncategorized(미분류)로 표시되는 URL 필터링 프로파일의 마지막에서 두 번째 행.

  • 사용자가 지정한 URL과 일치하지 않거나 범주가 없는 URL에 대해 수행할 정책 작업을 지정합니다.

  • 그룹 프로파일에서 독립형 프로파일이 사용되고 그룹 프로파일이 정책 규칙 집합 규칙에 적용된 경우 Uncategorized(미분류) 행은 그룹 프로파일에서 가져옵니다. 독립형 프로파일의 Uncategorized(미분류) 행은 독립형 프로파일이 정책 규칙 집합 규칙에 직접 적용된 경우에만 적용 가능합니다.

기본값(ANY)

  • ANY(모든)로 표시되는 URL 필터링 프로파일의 마지막 행.

  • 사용자가 지정한 URL 또는 범주와 일치하지 않거나 미분류가 아닌 URL에 대해 수행할 정책 작업을 지정합니다.

  • 그룹 프로파일에서 독립형 프로파일이 사용되고 그룹 프로파일이 정책 규칙 집합 규칙에 적용된 경우 ANY(모든) 행은 그룹 프로파일에서 가져옵니다. 독립형 프로파일의 ANY(모든) 행은 독립형 프로파일이 정책 규칙 집합에 직접 적용된 경우에만 적용 가능합니다.

URL 필터링 프로파일 생성

다음 절차를 사용하여 독립형 URL 필터링 프로파일을 생성합니다.

Procedure

Step 1

으로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

고유한 이름을 제공합니다.

Step 4

(선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름의 다른 프로파일을 구분하는 데 도움이 될 수 있습니다.

Step 5

Add(추가)를 클릭하여 새 행을 생성합니다.

Step 6

개별 URL을 지정합니다(예: https://www.google.com).

  • 각 URL은 PCRE(Perl Compatible Regular Expression)로 지정됩니다.

  • 각 URL은 전체 경로로 지정해야 합니다.

  • 소수점 "." 문자를 이스케이프하지 않으면 단일 문자 와일드카드로 처리됩니다.

Step 7

Category(범주)를 지정합니다(예: 게임, 스포츠, 소셜 네트워킹).

Step 8

정책이 적용되는 HTTP 메서드를 지정합니다.

Step 9

메서드의 하위 집합으로 다음 중 하나를 선택합니다.

  • Delete

  • Get

  • Head

  • Options

  • Patch

  • Post

  • Put

Step 10

모든 메서드에 대해 All(모두)을 지정합니다.

Step 11

사용자 지정 URL/Categories(URL/범주), Uncategorized(미분류) 및 ANY(모든) 행에 대한 Policy(정책) 작업을 지정합니다.

  • Allow Log(허용 로그) - 요청을 허용하고 이벤트를 로깅합니다.

  • Allow No Log(허용 로그 없음) - 요청을 허용하고 이벤트를 로깅하지 않습니다.

  • Deny Log(거부 로그) - 요청을 거부하고 이벤트를 로깅합니다.

  • Deny No Log(거부 로그 없음) - 요청을 거부하고 이벤트를 로깅하지 않습니다.

Step 12

반환 상태 코드를 지정합니다.

Step 13

100 이상 600 미만의 정수 값을 지정합니다. 값은 요청을 수행하는 클라이언트에 반환될 HTTP 상태를 나타냅니다. 일반적인 반환 코드는 503입니다.

Step 14

Save(저장)를 클릭합니다.

What to do next

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

FQDN(Fully Qualified Domain Name) 필터 프로파일

FQDN(Fully Qualified Domain Name) 필터 프로파일은 트래픽과 연결된 FQDN을 평가하고 트래픽을 허용 또는 거부하는 작업을 적용합니다. FQDN을 평가하려면 트래픽이 TLS로 암호화되어 있어야 하며 TLS Hello 헤더의 SNI 필드에 FQDN이 포함되어 있어야 합니다. FQDN에서는 포워딩 또는 포워드 프록시 규칙에 의해 처리된 트래픽을 평가할 수 있습니다. 프로파일의 FQDN 집합은 전체 도메인을 나타내는 문자열 또는 PCRE(Perl Compatible Regular Expression)로 표시되는 문자열로 지정할 수 있습니다. 도메인 허용 목록만 필요한 경우에는 FQDN 필터링 프로파일을 사용하는 것이 가장 좋습니다. FQDN 필터링 프로파일을 URL 필터링 프로파일과 함께 사용할 수도 있습니다. 여기서 도메인은 FQDN 필터링 프로파일 사용하여 평가되고 URL은 URL 필터링 프로파일을 사용하여 평가됩니다.

FQDN 필터링을 사용하여 규칙 일치 후 기준에 따라 허용하거나 거부할 범주를 필터링합니다. 세분화된 수준에서 필터를 설정할 수 있습니다. FQDN 필터 행에는 거부 또는 허용과 같은 로그 관련 작업이 포함되어 있습니다.

FQDN 필터링 프로파일은 사전 정의된 범주 집합을 사용할 수도 있습니다. 범주에 대한 자세한 내용을 FQDN / URL 필터링 범주를 참조하십시오.


Note

FQDN 필터링 프로파일은 사용자가 지정한 행(FQDN 및 Categories(범주))을 포함하는 테이블 형식으로 구성되며, 두 개의 기본 행(Uncategorized(미분류) 및 ANY(모든))이 있습니다. 필요한 경우 각 행 내에서 범주 및 FQDN을 결합할 수 있습니다.

각 FQDN 필터 프로파일의 제한은 다음과 같습니다.

  • 사용자 지정 최대 행: 254(독립형 또는 독립형 그룹)

  • 행당 최대 범주 및 FQDN: 60

  • 최대 FQDN 문자 길이: 255

다단계 도메인(예: 'www.example.com')을 지정할 때 `.' 문자를 이스케이프해야 합니다(예: `www.example\.com'). 그렇지 않으면 단일 문자에 대한 와일드카드로 처리됩니다.

독립형 및 그룹

FQDN 필터 프로파일은 독립형 또는 그룹으로 지정할 수 있습니다.

독립형 FQDN 필터 프로파일에는 FQDN 및 범주가 포함됩니다. 프로파일은 하나 이상의 정책 규칙 집합에 직접 적용되거나 FQDN 그룹 프로파일과 연결됩니다.

FQDN 필터 그룹 프로파일에는 다양한 용도로 정의하고 그룹 프로파일로 함께 결합할 수 있는 독립형 프로파일의 순서가 지정된 목록이 포함되어 있습니다. 그룹 프로파일을 하나 이상의 정책 규칙 집합에 직접 적용할 수 있습니다. 각 팀은 특정 독립형 프로파일을 생성하고 관리할 수 있습니다. 이러한 독립형 프로파일은 그룹 프로파일로 결합하여 활용 사례에 따라 계층 구조 또는 다양한 조합을 생성할 수 있습니다. 모든 항목에 적용되는 전역 FQDN 목록, 서로 다른 CSP에 적용되는 CSP 관련 목록, 그리고 애플리케이션에 적용되는 애플리케이션 관련 목록 등의 조합을 예로 들 수 있습니다.

미분류

  • Uncategorized(미분류)로 표시되는 FQDN 필터 프로파일의 두 번째에서 마지막 행.

  • 사용자가 지정한 FQDN과 일치하지 않거나 범주가 없는 FQDN에 대해 수행할 정책 작업을 지정합니다.

  • 그룹 프로파일에서 독립형 프로파일이 사용되고 그룹 프로파일이 정책 규칙 집합 규칙에 적용된 경우 Uncategorized(미분류) 행은 그룹 프로파일에서 가져옵니다. 독립형 프로파일의 Uncategorized(미분류) 행은 독립형 프로파일이 정책 규칙 집합 규칙에 직접 적용된 경우에만 적용 가능합니다.

기본값(ANY)

  • ANY(모든)로 표시되는 FQDN 필터 프로파일의 마지막 행.

  • 사용자가 지정한 FQDN 또는 범주와 일치하지 않거나 미분류가 아닌 FQDN에 대해 수행할 정책 작업을 지정합니다.

  • 그룹 프로파일에서 독립형 프로파일이 사용되고 그룹 프로파일이 정책 규칙 집합 규칙에 적용된 경우 ANY(모든) 행은 그룹 프로파일에서 가져옵니다. 독립형 프로파일의 ANY(모든) 행은 독립형 프로파일이 정책 규칙 집합에 직접 적용된 경우에만 적용 가능합니다.

독립형 FQDN 필터 프로파일 생성

다음 절차에 따라 독립형 FQDN 필터 프로파일을 생성합니다.

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

고유한 이름을 제공합니다.

Step 4

(선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름의 프로파일을 구분하는 데 도움이 될 수 있습니다.

Step 5

Type(유형)을 Standalone(독립형)으로 지정합니다.

Step 6

Add(추가)를 클릭하여 새 행을 생성합니다.

Step 7

개별 FQDN 지정합니다(예: google.com).

  1. 각 FQDN은 PCRE(Perl Compatible Regular Expression)로 지정됩니다.

  2. "." 문자를 이스케이프하지 않으면 단일 문자 와일드카드로 처리됩니다.

Step 8

Category(범주)를 지정합니다(예: 게임, 스포츠, 소셜 네트워킹).

Step 9

사용자 지정 FQDN/Categories(FQDN/범주), Uncategorized(미분류) 및 ANY(모든) 행에 대한 정책 작업을 지정합니다.

  • Allow Log(허용 로그) - 요청을 허용하고 이벤트를 로깅합니다.

  • Allow No Log(허용 로그 없음) - 요청을 허용하고 이벤트를 로깅하지 않습니다.

  • Deny Log(거부 로그) - 요청을 거부하고 이벤트를 로깅합니다.

  • Deny No Log(거부 로그 없음) - 요청을 거부하고 이벤트를 로깅하지 않습니다.

Step 10

(선택 사항) 암호 해독이 바람직하지 않거나 가능한 FQDN에 대해 Decryption Exception(암호 해독 예외)을 지정합니다. 암호 해독 예외를 고려해야 하는 가능한 이유는 다음과 같습니다.

  • 암호화된 트래픽(예: 금융 서비스, 방위, 의료 등)의 검사에 대한 거부 요청

  • 암호 해독이 불가능한 SSO 인증 트래픽

  • 프록시 설정할 수 없는 NTLM 트래픽

Step 11

완료되면 Save(저장)를 클릭합니다.

What to do next

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

그룹 FQDN 필터 프로파일 생성

다음 절차를 사용하여 두 개 이상의 독립형 프로파일이 있는 그룹 FQDN 필터 프로파일을 생성합니다.

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

고유한 이름을 제공합니다.

Step 4

(선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름을 가질 수 있는 프로파일을 구분하는 데 도움이 될 수 있습니다.

Step 5

Type(유형)을 Group(그룹)으로 지정합니다.

Step 6

초기 독립형 프로파일을 선택합니다(하나 이상의 독립형 프로파일이 필요함).

Step 7

Add FQDN Profile(FQDN 프로파일 추가)을 클릭하여 추가 프로파일에 대해 새 행을 생성합니다.

Step 8

독립형 프로파일을 선택합니다.

Step 9

Uncategorized(미분류) FQDN에 대한 Policy(정책) 작업을 지정합니다.

Step 10

ANY(모두) FQDN에 대한 Policy(정책) 작업을 지정합니다(기본값).

Step 11

선택 사항: 암호 해독이 필요하지 않거나 가능한 경우 Uncategorized(미분류) 또는 ANY(모두)로 암호 해독 예외를 지정합니다. 암호 해독 예외를 고려해야 하는 가능한 이유는 다음과 같습니다.

  • 암호화된 트래픽(금융 서비스, 방위, 의료 등)의 검사에 대한 거부 요청

  • 암호 해독이 불가능한 SSO 인증 트래픽

  • 프록시 설정할 수 없는 NTLM 트래픽

Step 12

Save(저장)를 클릭합니다.

What to do next

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

악의적인 IP 프로파일

추가 보안 보호 기능을 활성화하여 알려진 악성 IP와의 통신을 차단할 수 있습니다. 이러한 악성 IP는 Cisco Talos에서 정의 및 운영되며, Multicloud Defense에 보안 프로파일 규칙 집합으로 통합됩니다. 규칙 집합은 Talos에서 업데이트를 제공하므로 자주 업데이트됩니다. 업데이트는 자동 업데이트 구성 또는 수동 업데이트 구성을 사용하여 정책 규칙 집합에 동적으로 또는 수동으로 적용할 수 있습니다. 자세한 내용은 악의적인 IP 프로파일 생성를 참고하십시오.


Note

Talos는 학습된 다양한 동작을 기반으로 악성 IP를 식별합니다.

  • 웹 허니팟에서 악의적인 공격자 식별

  • 봇넷 명령 및 제어(C&C) 호스트

  • TOR 출구 노드

  • 기타 학습된 행동.

악의적인 IP 프로파일 생성

다음 절차에 따라 악의적인 IP 프로파일을 생성합니다.

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

고유한 프로파일 이름을 제공합니다.

Step 4

(선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름의 다른 프로파일을 구분하는 데 도움이 될 수 있습니다.

Step 5

IP Reputation(IP 평판)을 활성화하려면 확인란을 선택합니다.

Step 6

드롭다운 메뉴에서 규칙 집합 버전을 선택합니다.

  • Manual(수동) - 선택한 규칙 집합 버전은 이 프로파일을 사용하는 모든 게이트웨이의 Multicloud Defense 데이터 경로 엔진에 사용됩니다. 프로파일은 최신 규칙 집합 버전으로 자동 업데이트되지 않습니다.

  • Automatic(자동) - Multicloud Defense에서 규칙 집합 버전을 게시한 후 업데이트를 지연할 일수를 선택합니다. 새 규칙 집합은 Multicloud Defense에 의해 자주 게시됩니다. 이 프로파일을 사용하는 게이트웨이는 N일 이상의 최신 규칙 집합 버전으로 자동 업데이트됩니다. 여기서 N은 드롭다운에서 선택한 "delay by days(지연 일수)" 인수입니다. 예를 들어 2021년 1월 10일의 구축을 5일 연기하도록 선택하는 경우 Multicloud Defense 컨트롤러는 1월 5일 또는 그 이전에 게시된 규칙 집합 버전을 선택합니다. 해당 규칙 집합 버전에 대한 내부 테스트가 실패할 경우 Multicloud Defense이 특정 날짜에 게시되지 않을 수 있습니다.

Step 7

Save(저장)를 클릭합니다.

What to do next

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.

IP 평판

IP Reputation(IP 평판) 확인란은 프로파일을 활성화 또는 비활성화하는 수단으로 사용됩니다. 프로파일을 선택하고 프로파일이 정책 규칙 집합에 첨부되면, 악성 IP 보호가 시행됩니다. 선택하지 않고 프로파일이 정책 규칙 집합에 첨부되면, 악성 IP 보호가 시행되지 않습니다. 항상 IP 평판 확인란을 선택하는 것이 좋습니다. 악성 IP 프로파일을 비활성화하려면 확인란의 선택을 취소하는 대신 정책 규칙 집합에서 해당 연결을 제거합니다.

AI 가드레일 프로파일

프로파일은 AI Defense를 활성화하고 Multicloud Defense 테넌트와 통합한 사용자에게 필요합니다. (보안 규칙 및 정책)은 다양한 활용 사례에 적용됩니다. 프로파일을 사용하면 AI Defense 정책에서 사용 가능한 가드레일을 직접 반영하는 Multicloud Defense 내에서 보안 프로파일을 구성할 수 있습니다. 이 프로파일을 구성하여 다음 유형의 AI 가드레일을 시행할 수 있도록 Multicloud Defense과 AI Defense 간의 보안 통신을 구성합니다.

  • Security guardrails(보안 가드레일) - 보안 가드레일은 직접 및 간접 프롬프트 주입을 통해 LLM의 내부 안전 및 조정 규칙을 재정의하려는 시도를 탐지합니다. 또한 이 가드레일은 모델 엔드포인트 상호 작용에서 소프트웨어 코드를 탐지하여 악의적인 코드 실행 등과 같은 위험을 줄입니다.

  • Privacy guardrails(프라이버시 가드레일) - 프라이버시 공격은 ML 모델 또는 데이터에 포함된 민감한 정보를 공개하려고 시도합니다. 가드레일은 무단 사용자에게 유출될 경우 피해를 줄 수 있는 개인, 기밀 또는 민감한 정보를 탐지합니다. 이 가드레일은 PII(개인 식별 정보), PHI(보호되는 상태 정보) 및 PCI(지불 카드 산업) 데이터를 탐지합니다.

  • Safety guardrails(안전 가드레일) - 안전 위험에는 사용자별, 사회, 평판 및 재무 영향을 비롯한 다양한 범주가 포함될 수 있습니다. 가드레일은 프롬프트와 응답을 검사하여 유해한 콘텐츠, 증오심 표현, 성추행, 욕설, 성적인 콘텐츠 및 착취, 사회 분할과 양극화를 조장하는 메시지, 폭로, 공공 안전 위협을 비롯한 유해한 언어를 탐지합니다.

AI 가드레일 프로파일 생성

다음 절차에 따라 AI 가드레일 프로파일을 생성합니다.

시작하기 전에

이 프로파일을 생성하기 전에 다음을 완료 해야 합니다.

  • Multicloud Defense 테넌트에 대해 AI Defense를 활성화합니다.

  • AI Defense 대시보드에서 Multicloud Defense 테넌트를 통합하고 연결합니다.

프로시저

단계 1

이벤트 목록을 확인하려면 Policies(정책) > Profiles(프로파일) > AI 가드레일s(AI 가드레일)로 이동합니다.

단계 2

Create(생성)를 클릭합니다.

단계 3

고유 Profile Name(프로파일 이름)을 입력합니다.

단계 4

(선택 사항) Description(설명)을 입력합니다. 이렇게 하면 유사한 이름의 다른 프로파일과 구분할 수 있습니다.

단계 5

AI Defense 대시보드에 로그인하고 Applications(애플리케이션) > Create Application(애플리케이션 생성) > Add Connection(연결 추가) > Generate API Token(API 토큰 생성)으로 이동합니다. API 통합 키를 생성합니다.

단계 6

Multicloud Defense의 AI 가드레일 프로파일 페이지에서 해당 텍스트 필드에 AI Defense API Integration Key(AI Defense API 통합 키)를 입력합니다.

단계 7

Direction(지시) 드롭다운 메뉴를 확장하고 Response(대응)를 선택합니다.

현재로서는 Prompt(프롬프트)만 지원됩니다.

단계 8

Fallback Action(대체 작업) 드롭다운 메뉴를 확장하고 옵션 중 하나를 선택합니다. 이 설정은 AI Defense와의 연결이 끊어지는 경우 Multicloud Defense 게이트웨이가 실행할 항목을 지정합니다. 설정이 없는 경우 허용하는 것이 좋습니다.

단계 9

다음 Guardrail Details(가드레일 세부 정보)에 대한 3개의 탭을 클릭하고 스위치를 활성화하려는 모든 엔티티로 전환합니다.

  • Security Guardrail(보안 가드레일) - 이 선택 항목은 위협 및 무단 액세스로부터 보호합니다.

  • Privacy Guardrail(프라이버시 가드레일) - 이러한 선택 항목은 사용자 및 AI 모델이 보호된 데이터를 공개하지 못하도록 보호하여 사용자 기밀을 유지합니다.

  • Safety Guardrail(안전 가드레일) - 이러한 선택 항목은 유해한 콘텐츠, 증오심 표현, 성추행, 욕설, 성적인 콘텐츠, 착취적 언어 및 양극화를 조장하는 메시지를 비롯한 유해한 언어, 위협 또는 공공 안전을 위협하는 언어를 차단합니다.

엔터티의 토글을 클릭한 다음 각 엔터티에 사용 가능한 기능을 개별적으로 활성화해야 합니다. 엔터티를 활성화하는 것만으로는 나열된 기능이 포함되지 않습니다.

단계 10

Save(저장)를 클릭합니다.

다음에 수행할 작업

정책 규칙 집합에 프로파일을 연결합니다. 자세한 내용은 규칙 집합 및 규칙 집합 그룹를 참조하십시오.


참고

현재 AI 가드레일 프로파일은 이그레스 게이트웨이만 지원합니다.

선택적으로, AI Guardrails Log(AI 가드레일 로그) 페이지에서 이 특정 AI Defense 통합에 대한 이벤트 로그를 관찰하고 모니터링합니다.