AWS WAF v2에 Marketplace의 제품이 어느정도 대응하고 있을까
2025.01.24안녕하세요 클래스메소드의 이수재입니다.
올해 9월에 AWS WAF Classic(v1)이 서비스 종료가 됨에 따라 현행 버전인 WAF v2로 변경을 해야합니다.
AWS WAF Classic은 AWS 관리형 규칙을 제공하기 전의 버전이며 이를 위해 AWS Marketplace에서 제공하는 각종 보안 기업의 관리형 규칙을 이용하는 경우가 많습니다.
AWS WAF Classic과 AWS WAF v2는 독립되어 있으며 AWS Marketplace에서 기존에 구독하였던 Classic의 관리형 규칙은 V2와 호환성이 없는 경우가 있습니다.
그래서 호환성이 있는 경우라도 확인하고 각각 개별적으로 구독할 필요가 있습니다.
이 글에서는 콘솔에서 확인할 수 있는 Marketplace 관리형 규칙의 AWS WAF v2 대응 상황을 확인해봅니다
주의 사항
AWS Marketplace 관리형 규칙 목록
Marketplace 관리형 규칙 중 AWS WAF v2에 대응하고 있는지 표로 나타내면 다음과 같습니다.
대응하고 있는 경우 WCU도 같이 기재하였습니다.
결과적으로 일부 Marketplace 관리형 규칙만 AWS WAF v2에 대응하고 있는 것으로 보입니다.
그리고 Cyber Security Cloud, Fortinaet의 일부 규칙이 AWS WAF v2 용의 후속 제품을 제공하고 있는 것으로 보입니다.
AWS WAF v2 전용 Marketplace 관리형 규칙 목록
이어서 AWS WAF v2 만 대응하는 Marketplace 관리형 규칙 목록을 소개드립니다.
AWS WAF Classic 과는 다른 제공사의 제품으로 변경하는 경우 참고해주세요.
각 제공사에 대한 소개
각 제공사에 대한 개인적인 견해는 아래와 같습니다
Cyber Security Cloud
Cyber Security Cloud 의 관리형 규칙은 AWS WAF Classic 의 후속 제품인 AWS WAF v2 규칙이 있으므로 간단하게 변경이 가능할 것으로 보입니다.
이 외에도 AWS WAF v2를 위한 API 서버용 관리형 규칙Cyber Security Cloud Managed Rules for AWS WAF -API Gateway/Serverless-이 추가되어있으므로 보호 대상이 API 서버라면 이쪽의 제품을 이용하는 선택지도 있습니다.
Cyber Security Cloud 는 관리형 규칙 이외에도 WafCharm 라고 하는 독자 서비스도 제공하고 있으며 공식 블로그로 AWS WAF Classic 에서 AWS WAF v2로 변경하는 방법도 공유하고 있으므로 참고해주세요.
문의 사항 등 대응 가능한 언어는 일본어와 영어 뿐인 것으로 보입니다.
F5
F5의 관리형 규칙은 동일한 Marketplace 제품으로 AWS WAF v2에 대응하고 있으며 기본적으로 그대로 제품을 변경할 수 있습니다.다만 동일한 제품이라고 해도 배포되는 규칙이 AWS WAF Classic과 완전히 같다고 보장할 수 없으므로 사전에 검증해보는 것을 추천합니다.
영업과 서비스 팀 모두 한글, 영어 등 다양한 언어로 대응하고 있는 것으로 보입니다.
Fortinet
Fortinet의 관리형 규칙 중 몇 가지 제품은 후속 제품이 없습니다.
후속 제품이 없는 AWS WAF Classic 관리형 규칙을 사용하는 경우 AWS가 제공하고 있는 관리형 규칙이나 다른 제공사의 비슷한 관리형 규칙으로 변경하는 것이 좋습니다.
AWS가 제공하는 관리형 규칙을 사용하는 경우 아래의 규칙 그룹이 비슷한 기능을 합니다.
- Fortinet Managed Rules for AWS WAF - Malicious Bots
- → AWS WAF Bot Controlを採用して代替
- Fortinet Managed Rules for AWS WAF - SQLi/XSS
- Fortinet Managed Rules for AWS WAF - General and Known Exploits
- → AWSManagedRulesCommonRuleSet 를 중심으로 보호 대상에 따라 관리형 규칙을 적절히 활용하여 교환
영업은 한글과 영어 등 다양한 언어에 대응 가능한 것으로 보입니다. 하지만 기술 문의는 확인할 수 없었습니다.
Imperva
Imperva의 관리형 규칙은 IP reputation 에 관해서만 동일한 제품이 있으므로 그대로 변경할 수 있을 것으로 보입니다.
WordPress 보호 규칙에 대해선 후속 제품이 없으므로 AWS 관리형인 AWSManagedRulesWordPressRuleSet 로 변경하는 것을 추천합니다.
국내에선 Samsung SDS가 Imperva의 제품을 제공하고 있는 것으로 보입니다. 하지만 Marketplace에서 판매하고 있는 제품 및 문의도 대응하고 있는지는 별도로 확인이 필요할 것으로 보입니다.
영업 문의는 한국어, 영어 및 많은 언어를 대응하는 것으로 보이며, 기술 문의는 별도의 확인이 필요할 것으로 보입니다.
TrustWave
TrustWave 의 규칙은 후속 제품이 없습니다.
TrustWave의 제품을 이용하고 있던 경우 WAF 엔진인 ModSecurity의 가상 패치를 제공한다고 되어있지만 ModSecurity가 올해 들어 OWASP Foundation 으로 이관되므로 TrustWave로 부터 제공하는 제품은 종료될 것으로 보입니다.
- Trustwave Transfers ModSecurity Custodianship to OWASP
- Fare Thee Well ModSecurity: End-of-Life and Last Commercial Rules Update for June 2024
개인적인 생각으로는 AWS 관리형 규칙을 사용하는 방향으로 검토하는 것을 추천합니다.
AWS WAF v2. Cloudbric
Cloudbric의 관일형 규칙은 일반적으로 각 분야에 따라 제품을 나누어 놓은 느낌입니다. 실제로 WCU도 각 제품에 따라 편차치가 큽니다.
AWS WAF Classic 에서 다른 제공사의 제품을 이용하는 경우 이 제품이 선택지가 된다고 생각합니다.
다른 제공사와 다르게 국내 기업이기 때문에 문의에서 언어에 따른 문제는 없을 것으로 보입니다.
공식 페이지에는 관리형 규칙이아닌 WAF+ 라는 제품이 소개되어 있으므로 공유드립니다.
AWS WAF v2. GeoGuard
GeoGuard의 관리형 규칙은 동일한 제품이 2가지 요금 체계로 구분되어 있습니다.
상세한 내용은 아래 자료를 참고해주세요.
기본적으로는 IP Sets를 사용한 차단(블록) 리스트를 이용하는 것으로 보이기 때문에 도입하는 경우 부족한 부분을 다른 제공사 혹은 AWS의 관리형 규칙과 함께 운용하는 것을 추천합니다.
기본적으로 모든 문의는 영어로 대응하는 것으로 보이지만 한국도 대응 국가에 포함되어 있기 때문에 확인해 보는 것을 추천합니다.
AWS WAF v2. ThreatSTOP
ThreatSTOP 의 관리형 규칙은 소비 WCU가 아주 적은 제품 뿐이므로 특정 시나리오에 특화된 규칙이라고 생각됩니다.
실제로 제품 페이지에서도 각 분야 별로 별도의 구독 제품을 판매하고 있는 것으로 보입니다.
기본적으로 모든 문의는 영어로 대응하는 것으로 보이지만 한국도 대응 국가에 포함되어 있기 때문에 확인해 보는 것을 추천합니다.
마무리
Classic의 EOS와 WAF v2로 변경하는 것을 추천하는 내용은 작년부터 계속 있어왔습니다.
Classic에서 Marketplace의 관리형 규칙을 사용하고 있었던 경우에는 Classic 이 곧 EOS가 되므로 사전에 검증하여 장애가 발생하지 않도록 하는 것을 권장합니다.
또한 v2로 변경 시 단순히 관리형 규칙을 전환하는 것으로 끝이 아니라 WAF에서 보호해야 할 내용을 다시 정리하여 환경 자체를 다시 설계하는 것이 좋습니다.
긴 글 읽어주셔서 감사합니다.
오탈자 및 내용 피드백은 must01940 지메일로 보내주시면 감사합니다.
WAF Classic과 이름이 다름 ↩︎
