Product Documentation

Security Insight

Aug 09, 2017

인터넷에 노출되는 웹 및 웹 서비스 응용 프로그램이 공격에 점점 더 취약해지고 있습니다. 응용 프로그램을 공격으로부터 보호하려면 과거, 현재 및 미래의 위협 요소에 대한 특징과 범위 공격에 대한 실시간의 실행 가능한 데이터 및 권장 대응책에 대한 가시성을 확보해야 합니다. Security Insight는 응용 프로그램 보안 상태를 평가하고 교정 작업을 통해 응용 프로그램을 보호할 수 있는 단일의 솔루션입니다.

메모

Security Insight는 버전 11.0 빌드 65.31 이상에서 실행되는 NetScaler 장비의 NetScaler MAS에서 지원됩니다.

Security Insight의 작동 원리

Security Insight는 응용 프로그램과 관련된 위협 환경에 대한 완벽한 가시성을 제공하는 직관적인 대시보드 기반 보안 분석 솔루션입니다. Security insight는 NetScaler MAS에 포함되어 있으며 응용 프로그램 방화벽 및 NetScaler 시스템 보안 구성을 바탕으로 주기적으로 보고서를 생성합니다. 보고서에는 각 응용 프로그램에 대한 다음과 같은 정보가 포함됩니다.

  • 위협 지수. NetScaler 장비를 통한 보호 여부와 관계없이 응용 프로그램 공격의 심각도를 나타내는 단일 숫자 평가 시스템입니다. 응용 프로그램에 대한 공격이 심각할수록 해당 응용 프로그램에 대한 위협 지수가 높아집니다. 값 범위는 1-7입니다.
    위협 지수는 공격 정보에 기반합니다. 위반 유형, 공격 범주, 위치 및 클라이언트 세부 정보와 같은 공격 관련 정보는 응용 프로그램 공격에 대한 통찰력을 제공합니다. 위반 정보는 위반 또는 공격이 발생한 경우에만 NetScaler MAS로 전송됩니다. 침해 및 취약성 수가 많으면 위협 지수 값이 높아집니다.
  • 안전성 지수. 외부 위협 및 취약성으로부터 응용 프로그램을 보호하기 위해 NetScaler 인스턴스를 얼마나 안전하게 구성했는지를 나타내는 단일 숫자 평가 시스템입니다. 응용 프로그램의 보안 위험이 낮을수록 안전성 지수가 높아집니다. 값 범위는 1-7입니다.
    안전성 지수는 응용 프로그램 방화벽 구성과 NetScaler 시스템의 보안 구성을 모두 고려하여 평가됩니다. 안전성 지수 값이 높아지려면 두 구성이 모두 강력해야 합니다. 예를 들어 엄격한 응용 프로그램 방화벽 검사가 실행되지만 NetScaler 시스템 보안 수단(예: nsroot 사용자에 대한 강력한 암호)이 적용되지 않은 경우 응용 프로그램에 낮은 안정성 지수 값이 할당됩니다.
  • 실행 가능한 정보. 위협 지수를 낮추고 안전성 지수를 높이는 데 필요한 정보로, 응용 프로그램 보안을 크게 개선합니다. 예를 들어 위반, 응용 프로그램 방화벽 및 기타 보안 기능에 대한 기존 및 누락된 보안 구성, 응용 프로그램에 대한 공격 비율 등에 대한 정보를 검토할 수 있습니다.

Security Insight 구성

메모

Security Insight는 NetScaler Platinum 라이센스 또는 NetScaler Enterprise with AppFirewall 라이센스가 있는 NetScaler 인스턴스에서만 지원됩니다.

Security insight를 NetScaler 인스턴스에 구성하려면 먼저 응용 프로그램 방화벽 프로필을 구성한 다음 응용 프로그램 방화벽 정책을 전역으로 바인딩합니다.

그런 다음 AppFlow 기능을 사용하도록 설정하고, AppFlow 수집기, 동작 및 정책을 구성하고, 정책을 전역으로 바인딩합니다. 수집기를 구성할 때는 보고서를 모니터링할 NetScaler MAS 서버의 IP 주소를 지정해야 합니다.

NetScaler 인스턴스에 Security Insight를 구성하려면

1. 다음 명령을 실행하여 응용 프로그램 방화벽 프로필 및 정책을 구성하고 응용 프로그램 방화벽 정책을 전역으로 바인딩하거나 부하 분산 가상 서버에 바인딩합니다.

     add appfw profile <이름> [-defaults ( basic | advanced )]

     set appfw profile <이름> [-startURLAction ...]

     add appfw policy <이름> <규칙> <프로필 이름>

     bind appfw global <정책 이름> <우선 순위>

     또는

     bind lb vserver -policyName <-priority <우선 순위>

예제 복사

add appfw profile pr_appfw -defaults advanced

set  appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority “20”

2. 다음 명령을 실행하여 AppFlow 기능을 사용하도록 설정하고, AppFlow 수집기, 동작 및 정책을 구성하고, 정책을 전역으로 바인딩하거나 부하 분산 가상 서버에 바인딩합니다.

     add appflow collector <이름> -IPAddress

     set appflow param [-SecurityInsightRecordInterval ] [-SecurityInsightTraffic ( ENABLED | DISABLED )]

     add appflow action <이름> -collectors <문자열>

     add appflow policy <이름> <규칙> <동작>

     bind appflow global <정책 이름> <우선 순위> [<이동 우선 순위 식>] [-type <유형>]

     또는

     bind lb vserver <가상 서버> -policyName <-priority <우선 순위>

예제 복사

add appflow collector col -IPAddress 10.102.63.85

set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”

NetScaler MAS에서 AppFlow를 사용하도록 설정하려면

1. 웹 브라우저에서 NetScaler Management and Analytics System의 IP 주소를 입력합니다(예: http://192.168.100.1).

2. User Name(사용자 이름)Password(암호)에서 관리자 자격 증명을 입력합니다.

3. Networks(네트워크) > Instances(인스턴스)로 이동하고 AppFlow를 사용하도록 설정하려는 NetScaler 인스턴스를 선택합니다.

4. Action(동작) 드롭다운에서 Enable/Disable Insight(Insight 사용/사용 안 함)를 선택합니다.

5. 가상 서버를 선택하고 Enable AppFlow(AppFlow 사용)를 클릭합니다.

6. Enable AppFlow(AppFlow 사용) 필드에 true를 입력하고 Security Insight를 선택합니다.

7. OK(확인)를 클릭합니다. 

localized image

Security Insight 보고서의 지리적 위치 구성

NetScaler MAS에서 지리적 위치를 구성하는 경우, Security Insight 보고서에 클라이언트 요청이 시작된 정확한 지리적 위치가 포함됩니다. 지리적 위치를 사용하도록 설정하려면 조직의 모든 지리적 위치에 대한 사설 IP 차단 또는 IP 주소 범위를 지정합니다. 해당 정보를 각 위치의 시/군/구 이름과 경도 및 위도와 함께 Geo Database 파일에 추가합니다. 해당 Citrix 담당자에게 문의하여 Geo Database 파일을 받은 다음 파일을 NetScaler 인스턴스에 업로드하십시오.

지리적 위치를 구성하려면

  1. Geo Database 파일인 Citrix_Netscaler_InBuilt_GeoIP_DB.csv를 NetScaler 장비의 모든 위치에 복사합니다.
  2. Vi Editor와 같은 텍스트 편집기에서 Geo Database 파일을 열고 조직의 모든 위치에 대한 항목을 추가합니다.

항목은 다음 형식이어야 합니다.

<시작 IP>,<끝 IP>,,<국가>,<시/도>,,<구/군/시>,,경도,위도

예를 들면 다음과 같습니다.

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568

      3. 다음 명령을 실행하여 지리적 위치 로깅 및 CEF 형식 로깅을 사용하도록 설정합니다.

  • add locationFile
  • set appfw settings -geoLocationLogging ON
  • set appfw settings -CEFLogging ON

IP 신뢰도

NetScaler Insight Center를 사용하여 수신 트래픽의 IP 신뢰도를 모니터링하고 관리할 수 있습니다. 정책을 구성하고, 추가 IP를 악성 IP로 추가하고, 사용자 지정된 차단 목록을 만들 수 있습니다.

IP 신뢰도 구성 및 사용에 대한 자세한 내용은 IP 신뢰도를 참조하십시오.

IP 신뢰도 모니터링

IP 신뢰도 기능은 악성 IP 주소에 대한 공격 관련 정보를 제공합니다. 예를 들어 IP 신뢰도 점수, IP 신뢰도 범주, IP 신뢰도 공격 시간, 장치 IP 및 클라이언트 IP 주소에 대한 세부 정보를 보고합니다.

IP 신뢰도 점수는 IP 주소와 관련된 위험을 나타냅니다. 이 점수의 범위는 다음과 같습니다.

IP Reputation score Level of Risk

1-20

높은 위험

21 – 40

의심스러움

41 – 60

보통 위험

61 – 80

낮은 위험

81 – 100

신뢰할 수 있음

IP 신뢰도를 모니터링하려면

1. Analytics(분석) > Security Insight로 이동하고 모니터링할 응용 프로그램을 선택합니다.

2. Threat Index(위협 지수) 탭에서 IP Reputation(IP 신뢰도)을 선택합니다.

localized image

3. 심각도를 선택하여 해당 수준에서 공격에 대한 세부 정보를 표시합니다. 막대 그래프를 클릭하거나 그래프 아래의 표를 클릭할 수 있습니다.

4. 세부 정보를 확인할 기간을 선택합니다. 시간 슬라이더를 사용하여 선택한 기간을 추가로 사용자 지정할 수 있습니다. Go(실행)를 클릭합니다.

localized image

5. 표시를 사용자 지정하려면 설정 단추를 클릭합니다. 

localized image

임계값

Security Insight에서 응용 프로그램의 안전성 지수 및 위협 지수에 대한 임계값을 설정하고 볼 수 있습니다.

임계값을 설정하려면

1. System(시스템) > Analytics Settings(분석 설정) > Thresholds(임계값)로 이동하고 Add(추가)를 선택합니다.

2. Traffic Type(트래픽 유형) 필드에서 트래픽 유형을 Security(보안)로 선택하고 Name(이름), Duration(기간) 및 엔터티와 같은 다른 해당 필드에 필요한 정보를 입력합니다.

3. Rule(규칙) 섹션에서 Metric(메트릭), Comparator(비교 연산자) 및 Value(값) 필드를 사용하여 임계값을 설정합니다.

예를 들어 "Threat Index" ">" "5"를 설정합니다.

4. Create(만들기)를 클릭합니다.

임계값 위반을 확인하려면

1. Analytics(분석) > Security Insight > Devices(장치)로 이동하고 NetScaler 인스턴스를 선택합니다.

2. Application(응용 프로그램) 섹션의 Threshold Breach(임계값 위반) 열에서 각 가상 서버에서 발생한 임계값 위반의 수를 볼 수 있습니다.

Security Insight 사용 사례

다음 사용 사례에서는 Security Insight를 사용하여 응용 프로그램의 위협 노출을 평가하고 보안 수단을 개선하는 방법을 설명합니다.

위협 환경의 개요 확인

이 사용 사례의 환경에는 공격에 노출된 응용 프로그램 집합이 있고, 위협 환경을 모니터링하도록 NetScaler MAS가 구성되어 있습니다. 환경의 관리자는 가장 많은 주의가 필요한 응용 프로그램에 우선적으로 집중할 수 있도록 위협 지수, 안전성 지수 및 응용 프로그램이 경험할 수 있는 공격의 유형 및 심각도를 빈번하게 검토해야 합니다. Security Insight 대시보드는 관리자가 선택한 기간 동안, 선택한 NetScaler 장치에 대해, 응용 프로그램이 경험하는 위협을 요약하여 제공합니다. 응용 프로그램의 목록, 위협 및 안전성 지수 및 선택한 기간의 전체 공격 수가 표시됩니다.

예를 들어 Microsoft Outlook, Microsoft Lync, SharePoint 및 SAP 응용 프로그램을 모니터링하고 이러한 응용 프로그램에 대한 위협 환경의 요약을 검토할 수 있습니다.

위협 환경의 요약을 보려면 NetScaler MAS에 로그온하고 Analytics(분석) > Security Insight로 이동합니다.

각 응용 프로그램에 대한 주요 정보가 표시됩니다. 기본 기간은 1시간입니다.

localized image

다른 기간에 대한 정보를 보려면 왼쪽 위의 드롭다운에서 기간을 선택합니다.

localized image

다른 NetScaler 인스턴스에 대한 요약을 보려면 Devices(장치) 아래에서 NetScaler 인스턴스의 IP 주소를 클릭합니다. 지정된 열로 응용 프로그램 목록을 정렬하려면 열 헤더를 클릭합니다.

응용 프로그램의 위협 요소 노출 파악

Security Insight 대시보드에서 위협 환경의 요약을 검토하여 위협 지수가 높고 안전성 지수가 낮은 응용 프로그램을 식별한 후 해당 응용 프로그램에 대한 보안을 결정하기 전에 위협 노출을 확인할 수 있습니다. 즉, 지수 값을 낮춘 공격의 유형 및 심각도를 확인할 수 있습니다. 응용 프로그램 요약을 검토하면 응용 프로그램의 위협 노출을 확인할 수 있습니다.

이 예에서 Microsoft Outlook의 위협 지수 값은 6입니다. 이제 위협 지수를 이렇게 높이는 데 기여한 요인을 알아봐야 합니다.

Microsoft Outlook의 위협 노출을 확인하려면 Security Insight 대시보드에서 Outlook을 클릭합니다. 응용 프로그램 요약에는 서버의 지리적 위치를 식별하는 지도가 포함됩니다.

localized image

Threat Index(위협 지수) > Security Check Violations(보안 검사 위반)를 클릭하고 표시되는 위반 정보를 검토합니다.

localized image

Signature Violations(서명 위반)을 클릭하고 표시되는 위반 정보를 검토합니다.

localized image

응용 프로그램의 기존 보안 구성 및 누락된 보안 구성 확인

응용 프로그램의 위협 노출을 검토한 후에는 현재의 응용 프로그램 보안 구성과 해당 응용 프로그램에서 누락된 구성을 확인해야 합니다. 이 정보는 응용 프로그램의 안전성 지수 요약을 드릴다운하여 확인할 수 있습니다.

안전성 지수 요약은 다음과 같은 보안 구성의 효과에 대한 정보를 제공합니다.

  • Application Firewall Configuration(응용 프로그램 방화벽 구성). 구성되지 않은 서명 및 보안 엔터티의 수를 보여 줍니다.
  • NetScaler System Security(NetScaler 시스템 보안). 구성되지 않은 시스템 보안 설정의 수를 보여 줍니다.
localized image

이전 사용 사례에서 위협 지수 값이 6인 Microsoft Outlook의 위협 노출을 검토했습니다. 이제 Outlook의 기존 보안 구성을 확인하고 위협 지수를 개선하기 위해 추가할 수 있는 구성에 대해 알아봐야 합니다.

Security Insight 대시보드에서 Outlook을 클릭한 다음 Safety Index(안전성 지수) 탭을 클릭합니다. Safety Index Summary(안전성 지수 요약) 영역에 제공된 정보를 검토합니다.

localized image

Application Firewall Configuration(응용 프로그램 방화벽 구성) 노드에서 Outlook_Profile을 클릭하고 원형 차트에 표시된 보안 검사 및 서명 위반 정보를 검토합니다.

localized image
localized image

응용 프로그램 방화벽 요약 표에서 각 보호 유형의 구성 상태를 검토합니다. 열의 표를 정렬하려면 열 헤더를 클릭합니다.

localized image

NetScaler System Security(NetScaler 시스템 보안) 노드를 클릭하고 시스템 보안 설정 및 응용 프로그램 안전성 지수 개선을 위한 Citrix 권장 사항을 검토합니다. 

즉각적인 주의가 필요한 응용 프로그램 식별

위협 지수가 높고 안전성 지수가 낮은 응용 프로그램은 즉각적인 주의가 필요합니다.

이 예에서는 Microsoft Outlook과 Microsoft Lync의 위협 지수 값이 6으로 동일하게 높지만 Lync의 안전성 지수는 2로 더 낮습니다. 따라서 Outlook의 위협 환경을 개선하기 전에 Lync에 먼저 집중해야 할 수 있습니다.

localized image

지정된 기간의 공격 수 확인

지정된 기간 동안 지정된 응용 프로그램에 발생한 공격의 수를 확인하거나 특정 기간 동안의 공격 비율을 파악해야 할 수 있습니다.

예를 들어 지난 주에 Microsoft Lync에 발생한 공격 수를 알아야 할 수 있습니다. Security Insight 대시보드에서 Lync > Total Violations(총 위반 수)를 클릭합니다. 기본적으로 지난 1시간에 대한 그래프가 표시됩니다. 

localized image

지난 주의 위반에 대한 그래프를 표시하려면 기간 목록에서 1 Week(1주)를 선택합니다. 이 예에서는 2월 1일부터 공격이 급증하는 것을 알 수 있습니다.

localized image

보안 침해에 대한 자세한 정보 확인

응용 프로그램에 대한 공격 목록을 보고 공격의 유형 및 심각도에 대한 정보, NetScaler 인스턴스가 수행한 동작, 요청된 리소스 및 공격의 원본에 대한 정보를 얻어야 할 수 있습니다.

예를 들어 Microsoft Lync에서 차단된 공격 수, 요청된 리소스 및 원본 IP 주소를 확인해야 할 수 있습니다.

Security Insight 대시보드에서 Lync > Total Violations(총 위반 수)를 클릭합니다. 표에서 Action Taken(수행한 동작) 열 헤더의 필터 아이콘을 클릭하고 Blocked(차단)를 선택합니다.

localized image

요청된 리소스에 대한 정보를 보려면 URL 열을 검토합니다. 공격의 원본에 대한 정보를 보려면 Client IP(클라이언트 IP) 열을 검토합니다.

구성 배포 전 안전성 지수 확인

보안 침해는 NetScaler 인스턴스에 보안 구성을 배포한 후 발생하지만 보안 구성을 배포하기 전에 해당 구성의 효과를 평가해야 할 수 있습니다.

예를 들어 IP 주소가 10.102.60.27인 NetScaler 인스턴스에서 SAP 응용 프로그램에 대한 구성의 안전성 지수를 평가할 수 있습니다.

Security Insight 대시보드의 Devices(장치) 아래에서 구성한 NetScaler 인스턴스의 IP 주소를 클릭합니다. 위협 지수와 총 공격 수가 모두 0인 것을 알 수 있습니다. 위협 지수는 응용 프로그램에 대한 공격의 수와 유형을 직접적으로 반영합니다. 공격 수가 0이라는 것은 응용 프로그램이 어떤 위협에도 처하지 않았음을 나타냅니다.

localized image

Sap > Safety Index(안전성 지수) > SAP_Profile을 클릭하고 표시되는 안전성 지수 정보를 평가합니다.

localized image

응용 프로그램 방화벽 요약에서 다양한 보호 설정의 구성 상태를 볼 수 있습니다. 설정이 로그로 설정되어 있거나 설정이 구성되지 않은 경우 응용 프로그램에 낮은 안전성 지수가 할당됩니다.

localized image