GSP879

개요

Google Cloud Armor는 Google의 엔터프라이즈 에지 네트워크 보안 솔루션으로, DDoS 보호, WAF 규칙 적용, 대규모 적응형 관리 기능을 제공합니다.

Cloud Armor는 사전 구성된 WAF 규칙 세트를 확장하여 OWASP 상위 10개 웹 애플리케이션 보안 취약점을 완화합니다. 이 규칙 세트는 OWASP Modsecurity Core Rule Set 버전 3.0.2를 기반으로 하며, 로컬 파일 포함(lfi), 원격 파일 포함(rfi), 원격 코드 실행(rce) 등 가장 일반적인 웹 애플리케이션 보안 위험으로부터 보호합니다.

이 실습에서는 Google Cloud Armor의 WAF 규칙을 사용하여 일부 일반적인 취약점을 완화하는 방법을 알아봅니다.

학습할 내용

이 실습에서는 다음을 수행하는 방법에 대해 알아봅니다.

• 서비스를 지원하기 위해 인스턴스 그룹과 전역 부하 분산기 설정
• 사전 구성된 WAF 규칙으로 Cloud Armor 보안 정책을 구성하여 lfi, rce, 스캐너, 프로토콜 공격, 세션 고정으로부터 보호
• 로그를 관찰하여 Cloud Armor가 공격을 완화했는지 확인

OWASP Juice Shop 애플리케이션은 계획적으로 OWASP 상위 10개 보안 취약점의 각 인스턴스를 포함하고 있기 때문에 보안 교육 및 인식 제고에 유용합니다. 공격자는 이를 테스트 목적으로 악용할 수 있습니다. 이 실습에서는 이 애플리케이션을 사용하여 몇 가지 애플리케이션 공격을 시연한 다음 Cloud Armor WAF 규칙으로 애플리케이션을 보호하는 방법을 살펴보겠습니다. 애플리케이션에는 Google Cloud 부하 분산기가 배치되며 여기에는 Cloud Armor 보안 정책과 규칙이 적용됩니다. 공개 인터넷에서 제공되므로 거의 모든 곳에서 연결할 수 있으며 Cloud Armor 및 VPC 방화벽 규칙을 사용하여 보호됩니다.

설정 및 요건

실습 시작 버튼을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 실습 활동을 진행할 수 있습니다. 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드(권장) 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간(실습을 시작하고 나면 일시중지할 수 없음)

참고: 이 실습에는 학습자 계정만 사용하세요. 다른 Google Cloud 계정을 사용하는 경우 해당 계정에 비용이 청구될 수 있습니다.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 대화상자가 열립니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 창이 있습니다.

   • Google Cloud 콘솔 열기 버튼
   • 남은 시간
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다).

   실습에서 리소스가 가동되면 다른 탭이 열리고 로그인 페이지가 표시됩니다.

   팁: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하세요.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다.

   {{{user_0.username | "Username"}}}

   실습 세부정보 창에서도 사용자 이름을 확인할 수 있습니다.

4. 다음을 클릭합니다.

5. 아래의 비밀번호를 복사하여 시작하기 대화상자에 붙여넣습니다.

   {{{user_0.password | "Password"}}}

   실습 세부정보 창에서도 비밀번호를 확인할 수 있습니다.

6. 다음을 클릭합니다.

   중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

7. 이후에 표시되는 페이지를 클릭하여 넘깁니다.

   • 이용약관에 동의합니다.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 않습니다.
   • 무료 체험판을 신청하지 않습니다.

잠시 후 Google Cloud 콘솔이 이 탭에서 열립니다.

참고: Google Cloud 제품 및 서비스에 액세스하려면 탐색 메뉴를 클릭하거나 검색창에 제품 또는 서비스 이름을 입력합니다.

Cloud Shell 활성화

Cloud Shell은 다양한 개발 도구가 탑재된 가상 머신으로, 5GB의 영구 홈 디렉터리를 제공하며 Google Cloud에서 실행됩니다. Cloud Shell을 사용하면 명령줄을 통해 Google Cloud 리소스에 액세스할 수 있습니다.

1. Google Cloud 콘솔 상단에서 Cloud Shell 활성화 를 클릭합니다.

2. 다음 창을 클릭합니다.

   • Cloud Shell 정보 창을 통해 계속 진행합니다.
   • 사용자 인증 정보를 사용하여 Google Cloud API를 호출할 수 있도록 Cloud Shell을 승인합니다.

연결되면 사용자 인증이 이미 처리된 것이며 프로젝트가 학습자의 PROJECT_ID, (으)로 설정됩니다. 출력에 이 세션의 PROJECT_ID를 선언하는 줄이 포함됩니다.

Your Cloud Platform project in this session is set to {{{project_0.project_id | "PROJECT_ID"}}}

gcloud는 Google Cloud의 명령줄 도구입니다. Cloud Shell에 사전 설치되어 있으며 명령줄 자동 완성을 지원합니다.

3. (선택사항) 다음 명령어를 사용하여 활성 계정 이름 목록을 표시할 수 있습니다.

gcloud auth list

4. 승인을 클릭합니다.

출력:

ACTIVE: * ACCOUNT: {{{user_0.username | "ACCOUNT"}}} To set the active account, run: $ gcloud config set account `ACCOUNT`

5. (선택사항) 다음 명령어를 사용하여 프로젝트 ID 목록을 표시할 수 있습니다.

gcloud config list project

출력:

[core] project = {{{project_0.project_id | "PROJECT_ID"}}} 참고: gcloud 전체 문서는 Google Cloud에서 gcloud CLI 개요 가이드를 참고하세요.

시작하기 전에

• Cloud Shell에서 프로젝트 ID를 설정합니다.

gcloud config list project export PROJECT_ID=$(gcloud config get-value project) echo $PROJECT_ID gcloud config set project $PROJECT_ID

작업 1. VPC 네트워크 만들기

• Cloud Shell에서 다음 명령어를 입력하여 VPC 네트워크를 만듭니다.

gcloud compute networks create {{{project_0.startup_script.network_name| Network Name}}} --subnet-mode custom Created NAME SUBNET_MODE BGP_ROUTING_MODE {{{project_0.startup_script.network_name| Network Name}}} CUSTOM REGIONAL

서브넷 만들기

• Cloud Shell에서 다음 명령어를 입력하여 서브넷을 만듭니다.

gcloud compute networks subnets create {{{project_0.startup_script.subnet_name| Subnet Name}}} \ --network {{{project_0.startup_script.network_name| Network Name}}} --range 10.0.0.0/24 --region {{{project_0.startup_script.region_1| Region}}} Created NAME REGION NETWORK RANGE {{{project_0.startup_script.subnet_name| Subnet Name}}} {{{project_0.startup_script.region_1| Region}}} {{{project_0.startup_script.network_name| Network Name}}} 10.0.0.0/24

VPC 방화벽 규칙 만들기

VPC와 서브넷을 만든 후 몇 가지 방화벽 규칙을 설정합니다.

• allow-js-site라는 이름의 첫 번째 방화벽 규칙은 모든 IP가 포트 3000에서 테스트 애플리케이션 웹사이트의 외부 IP에 액세스하도록 허용합니다.
• allow-health-check라는 두 번째 방화벽 규칙은 부하 분산기의 소스 IP에서 상태 점검을 수행하도록 합니다.

1. Cloud Shell에서 다음 명령어를 입력하여 모든 IP가 애플리케이션에 액세스할 수 있도록 허용하는 방화벽 규칙을 만듭니다.

gcloud compute firewall-rules create {{{project_0.startup_script.firewall_rule| Firewall Name}}} --allow tcp:3000 --network {{{project_0.startup_script.network_name| Network Name}}}

출력:

Creating firewall...done. NAME NETWORK DIRECTION PRIORITY ALLOW DENY DISABLED {{{project_0.startup_script.firewall_rule| Firewall Name}}} {{{project_0.startup_script.network_name| Network Name}}} INGRESS 1000 tcp:3000 False

2. Cloud Shell에서 다음 명령어를 입력하여 Google 상태 점검 범위에서 상태 점검을 수행할 수 있도록 하는 방화벽 규칙을 만듭니다.

gcloud compute firewall-rules create {{{project_0.startup_script.firewall_rule1| Firewall Name1}}} \ --network={{{project_0.startup_script.network_name| Network Name}}} \ --action=allow \ --direction=ingress \ --source-ranges=130.211.0.0/22,35.191.0.0/16 \ --target-tags=allow-healthcheck \ --rules=tcp

출력:

Creating firewall...done. NAME NETWORK DIRECTION PRIORITY ALLOW DENY DISABLED {{{project_0.startup_script.firewall_rule1| Firewall_Name1}}} {{{project_0.startup_script.network_name| Network Name}}} INGRESS 1000 tcp False

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. VPC 네트워크 만들기

작업 2. 테스트 애플리케이션 설정

테스트 애플리케이션을 만듭니다. 이 경우 OWASP Juice Shop 웹 서버입니다. 컴퓨팅 인스턴스를 만들 때 컨테이너 이미지를 사용하여 서버에 적절한 서비스가 있는지 확인합니다. 이 서버는 에 배포되며 여기에는 상태 점검을 수행하도록 하는 네트워크 태그가 있습니다.

OWASP Juice Shop 애플리케이션 만들기

• 잘 알려진 오픈소스 OWASP Juice Shop 애플리케이션을 취약한 애플리케이션으로 사용합니다. 또한 이 애플리케이션을 사용하여 OWASP 웹사이트를 통해 OWASP 보안 테스트를 수행할 수 있습니다.

gcloud compute instances create-with-container {{{project_0.startup_script.vm_instance| vm_instance}}} --container-image bkimminich/juice-shop \ --network {{{project_0.startup_script.network_name| Network Name}}} \ --subnet {{{project_0.startup_script.subnet_name| Subnet Name}}} \ --private-network-ip=10.0.0.3 \ --machine-type n1-standard-2 \ --zone {{{project_0.startup_script.zone| Zone}}} \ --tags allow-healthcheck

출력:

NAME ZONE MACHINE_TYPE PREEMPTIBLE {{{project_0.startup_script.vm_instance| vm_instance}}} {{{project_0.startup_script.zone| Zone}}} n1-standard-2 INTERNAL_IP EXTERNAL_IP STATUS 10.0.0.3 RUNNING

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. 테스트 애플리케이션 설정

Cloud 부하 분산기 구성요소 설정: 인스턴스 그룹

1. Cloud Shell에서 다음 명령어를 입력하여 관리되지 않는 인스턴스 그룹을 만듭니다.

gcloud compute instance-groups unmanaged create {{{project_0.startup_script.vm_instance_group| Instance Group}}} \ --zone={{{project_0.startup_script.zone| Zone}}}

출력:

NAME LOCATION SCOPE NETWORK MANAGED INSTANCES {{{project_0.startup_script.vm_instance_group| Instance Group}}} {{{project_0.startup_script.zone| Zone}}} zone 0

2. Juice Shop Google Compute Engine(GCE) 인스턴스를 비관리형 인스턴스 그룹에 추가합니다.

gcloud compute instance-groups unmanaged add-instances {{{project_0.startup_script.vm_instance_group| Instance Group}}} \ --zone={{{project_0.startup_script.zone| Zone}}} \ --instances={{{project_0.startup_script.vm_instance| VM Instance}}}

출력:

Updated [https://www.googleapis.com/compute/v1/projects//zones/{{{project_0.startup_script.zone| Zone}}}/instanceGroups/{{{project_0.startup_script.vm_instance_group| Instance_Group}}}].

3. 이름이 지정된 포트를 해당 Juice Shop 애플리케이션으로 설정합니다.

gcloud compute instance-groups unmanaged set-named-ports \ {{{project_0.startup_script.vm_instance_group| Instance Group}}} \ --named-ports=http:3000 \ --zone={{{project_0.startup_script.zone| Zone}}}

출력:

Updated [https://www.googleapis.com/compute/v1/projects//zones/{{{project_0.startup_script.zone| Zone}}}/instanceGroups/{{{project_0.startup_script.vm_instance_group| Instance Group}}}].

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. Cloud 부하 분산기 구성요소 설정 - 인스턴스 그룹

Cloud 부하 분산기 구성요소 설정: 상태 점검

비관리형 인스턴스 그룹을 만들었으니 이제 상태 점검, 백엔드 서비스, URL 맵, 대상 프록시, 전달 규칙을 만듭니다.

• Cloud Shell에서 다음 명령어를 입력하여 Juice Shop 서비스 포트에 대한 상태 점검을 만듭니다.

gcloud compute health-checks create tcp tcp-port-3000 \ --port 3000

출력:

Created NAME PROTOCOL tcp-port-3000 TCP

Cloud 부하 분산기 구성요소 설정: 백엔드 서비스

1. Cloud Shell에서 다음 명령어를 입력하여 백엔드 서비스 파라미터를 만듭니다.

gcloud compute backend-services create juice-shop-backend \ --protocol HTTP \ --port-name http \ --health-checks tcp-port-3000 \ --enable-logging \ --global

출력:

NAME BACKENDS PROTOCOL juice-shop-backend HTTP

2. Juice Shop 인스턴스 그룹을 백엔드 서비스에 추가합니다.

gcloud compute backend-services add-backend juice-shop-backend \ --instance-group={{{project_0.startup_script.vm_instance_group| Instance Group}}} \ --instance-group-zone={{{project_0.startup_script.zone| Zone}}} \ --global

출력:

Updated [https://www.googleapis.com/compute/v1/projects/cythom-host1/global/backendServices/juice-shop-backend].

Cloud 부하 분산기 구성요소 설정: URL 맵

• Cloud Shell에서 다음 명령어를 입력하여 수신 요청을 백엔드로 보내는 URL 맵을 만듭니다.

gcloud compute url-maps create juice-shop-loadbalancer \ --default-service juice-shop-backend

출력:

NAME DEFAULT_SERVICE juice-shop-loadbalancer backendServices/juice-shop-backend

Cloud 부하 분산기 구성요소 설정: 대상 프록시

• Cloud Shell에서 다음 명령어를 입력하여 URL 맵으로 들어오는 요청을 라우팅할 대상 프록시를 만듭니다.

gcloud compute target-http-proxies create juice-shop-proxy \ --url-map juice-shop-loadbalancer

출력:

NAME URL_MAP juice-shop-proxy juice-shop-loadbalancer

Cloud 부하 분산기 구성요소 설정: 전달 규칙

• Cloud Shell에서 다음 명령어를 입력하여 부하 분산기의 전달 규칙을 만듭니다.

gcloud compute forwarding-rules create juice-shop-rule \ --global \ --target-http-proxy=juice-shop-proxy \ --ports=80

출력:

Created [https://www.googleapis.com/compute/v1/projects/cythom-host1/global/forwardingRules/juice-shop-rule].

Juice Shop 서비스가 온라인 상태인지 확인

1. Cloud Shell에서 다음을 실행합니다.

PUBLIC_SVC_IP="$(gcloud compute forwarding-rules describe juice-shop-rule --global --format="value(IPAddress)")" echo $PUBLIC_SVC_IP

출력:

<public VIP of service>

몇 분 정도 기다린 후 계속 진행합니다. 그렇지 않으면 HTTP/1.1 404 Not Found 응답이 반환될 수도 있습니다.

2. Cloud Shell에서 다음을 실행합니다.

curl -Ii http://$PUBLIC_SVC_IP

출력:

HTTP/1.1 200 OK <...>

브라우저로 이동하여 Juice Shop을 볼 수도 있습니다.

이제 Juice Shop의 취약점을 살펴보고 Cloud Armor WAF 규칙 세트로 보호할 준비가 되었습니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. Cloud 부하 분산기 구성요소 설정 - 상태 점검

작업 3. 알려진 취약점 시연

이 실습에서는 Cloud Armor WAF 규칙이 전파되기 전과 후의 상태를 간략한 단계로 보여줍니다.

LFI 취약점 관찰: 경로 순회

로컬 파일 포함은 요청에 대한 입력 검증이 부족한 취약점을 악용하여 서버에 있는 파일을 관찰하고 잠재적으로 민감한 정보를 노출시키는 프로세스입니다. 다음 예시는 경로 순회가 가능함을 보여줍니다. 브라우저 또는 curl을 사용하여 애플리케이션에서 제공하는 기존 경로를 관찰합니다.

1. Cloud Shell에서 다음을 실행합니다.

curl -Ii http://$PUBLIC_SVC_IP/ftp

출력:

HTTP/1.1 200 OK <...>

경로 순회도 작동하는지 관찰합니다.

2. Cloud Shell에서 다음을 실행합니다.

curl -Ii http://$PUBLIC_SVC_IP/ftp/../

출력:

HTTP/1.1 200 OK <...>

RCE 취약점 관찰

원격 코드 실행에는 다양한 UNIX 및 Windows 명령어 삽입 시나리오가 포함됩니다. 이러한 시나리오에서는 공격자가 일반적으로 권한이 있는 사용자에게만 허용된 OS 명령어를 실행할 수 있습니다. 다음은 간단한 ls 명령어를 전달하여 실행하는 경우를 보여줍니다.

• Cloud Shell에서 다음을 실행합니다.

curl -Ii http://$PUBLIC_SVC_IP/ftp?doc=/bin/ls

출력:

HTTP/1.1 200 OK <...>

curl 플래그를 삭제하여 전체 출력을 관찰합니다.

잘 알려진 스캐너의 액세스 관찰

상용 및 오픈소스 스캔 애플리케이션은 취약점 발견 등 다양한 목적으로 사용됩니다. 이러한 도구는 잘 알려진 사용자 에이전트 및 기타 헤더를 사용합니다. curl이 잘 알려진 사용자 에이전트 헤더와 함께 작동하는지 확인합니다.

• Cloud Shell에서 다음을 실행합니다.

curl -Ii http://$PUBLIC_SVC_IP -H "User-Agent: blackwidow"

출력:

HTTP/1.1 200 OK <...>

프로토콜 공격 관찰: HTTP 분할

일부 웹 애플리케이션은 사용자 입력을 사용하여 응답의 헤더를 생성합니다. 애플리케이션이 입력을 제대로 필터링하지 않으면 공격자가 %0d%0a 시퀀스(서로 다른 줄을 구분하는 데 사용되는 CRLF 시퀀스)로 입력 파라미터를 오염시킬 수 있습니다.

그러면 응답을 파싱하는 중간 프록시 서버와 같은 구성요소는 하나의 응답을 두 개의 응답으로 잘못 해석하여 후속 요청에서 잘못된 콘텐츠를 제공할 수 있습니다. 입력 파라미터에 %0d%0a 시퀀스를 삽입하면 잘못된 페이지가 제공될 수 있습니다.

• Cloud Shell에서 다음을 실행합니다.

curl -Ii "http://$PUBLIC_SVC_IP/index.html?foo=advanced%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2035%0d%0a%0d%0a<html>Sorry,%20System%20Down</html>"

출력:

HTTP/1.1 200 OK <...>

세션 고정 관찰

• Cloud Shell에서 다음을 실행합니다.

curl -Ii http://$PUBLIC_SVC_IP -H session_id=X

출력:

HTTP/1.1 200 OK <...>

작업 4. Cloud Armor WAF 규칙 정의

1. Cloud Shell에서 다음 명령어를 사용하여 사전 구성된 WAF 규칙을 나열합니다.

gcloud compute security-policies list-preconfigured-expression-sets EXPRESSION_SET Sqli-canary RULE_ID owasp-crs-v030001-id942110-sqli owasp-crs-v030001-id942120-sqli <...>

2. Cloud Shell에서 다음 명령어를 사용하여 Cloud Armor 보안 정책을 만듭니다.

gcloud compute security-policies create {{{project_0.startup_script.policy_name| Policy Name}}} \ --description "Block with OWASP ModSecurity CRS"

3. Cloud Shell에서 보안 정책 기본 규칙을 업데이트합니다.

참고: 기본 규칙 우선순위의 숫자 값은 2147483647입니다. gcloud compute security-policies rules update 2147483647 \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --action "deny-403"

4. 기본 규칙이 작업 거부로 구성되어 있으므로 IP에서 액세스를 허용해야 합니다. 공개 IP를 찾습니다(curl, ipmonkey, whatismyip 등).

MY_IP=$(curl ifconfig.me)

5. 사용자의 IP에서 액세스할 수 있도록 하는 첫 번째 규칙을 추가합니다(아래에 IP 삽입).

gcloud compute security-policies rules create 10000 \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --description "allow traffic from my IP" \ --src-ip-ranges "$MY_IP/32" \ --action "allow"

6. Cloud Shell에서 보안 정책을 업데이트하여 LFI 공격을 차단합니다.

로컬 파일 포함에 대한 경로 순회를 방지하는 OWASP ModSecurity Core Rule Set를 적용합니다.

gcloud compute security-policies rules create 9000 \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --description "block local file inclusion" \ --expression "evaluatePreconfiguredExpr('lfi-stable')" \ --action deny-403

7. Cloud Shell에서 보안 정책을 업데이트하여 원격 코드 실행 (rce)을 차단합니다.

OWASP ModSecurity Core Rule Set에 따라 명령어 삽입을 포함한 rce를 찾는 규칙을 적용합니다. 일반적인 OS 명령이 감지되고 차단됩니다.

gcloud compute security-policies rules create 9001 \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --description "block rce attacks" \ --expression "evaluatePreconfiguredExpr('rce-stable')" \ --action deny-403

8. 보안 정책을 업데이트하여 보안 스캐너를 차단합니다.

OWASP ModSecurity Core Rule Set를 적용하여 잘 알려진 보안 스캐너, 스크립팅 HTTP 클라이언트, 웹 크롤러를 차단합니다.

gcloud compute security-policies rules create 9002 \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --description "block scanners" \ --expression "evaluatePreconfiguredExpr('scannerdetection-stable')" \ --action deny-403

9. Cloud Shell에서 보안 정책을 업데이트하여 프로토콜 공격을 차단합니다.

OWASP ModSecurity Core Rule Set에 따라 캐리지 리턴(CR) %0d 및 라인피드(LF) %0a 문자, HTTP 요청 스머글링과 같은 기타 유형의 프로토콜 공격을 찾는 규칙을 적용합니다.

gcloud compute security-policies rules create 9003 \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --description "block protocol attacks" \ --expression "evaluatePreconfiguredExpr('protocolattack-stable')" \ --action deny-403

10. 보안 정책을 업데이트하여 세션 고정을 차단합니다.

OWASP ModSecurity Core Rule Set에 따라 Cloud Shell을 사용하여 다음 규칙을 적용합니다.

gcloud compute security-policies rules create 9004 \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --description "block session fixation attacks" \ --expression "evaluatePreconfiguredExpr('sessionfixation-stable')" \ --action deny-403

11. 백엔드 서비스에 보안 정책을 연결합니다.

gcloud compute backend-services update juice-shop-backend \ --security-policy {{{project_0.startup_script.policy_name| Policy Name}}} \ --global

규칙이 전파되는 데 시간이 걸릴 수 있습니다(10분 이내).

12. 충분한 시간이 지나면 이전에 시연한 취약점을 테스트하여 다음 단계에서 Cloud Armor WAF 규칙 적용을 확인합니다.

내 진행 상황 확인하기를 클릭하여 목표를 확인합니다. Cloud Armor 보안 정책 만들기

OWASP ModSecurity Core Rule Set로 Cloud Armor 보호 관찰

1. Cloud Shell에서 LFI 취약점이 완화되었는지 확인합니다.

curl -Ii http://$PUBLIC_SVC_IP/?a=../

출력:

HTTP/1.1 403 Forbidden <...>

2. Cloud Shell에서 RCE 공격이 완화되었는지 확인합니다.

curl -Ii http://$PUBLIC_SVC_IP/ftp?doc=/bin/ls

출력:

HTTP/1.1 403 Forbidden <..>

3. Cloud Shell에서 잘 알려진 스캐너 감지를 확인합니다.

curl -Ii http://$PUBLIC_SVC_IP -H "User-Agent: blackwidow"

출력:

HTTP/1.1 403 Forbidden <..>

4. Cloud Shell에서 프로토콜 공격이 완화되었는지 확인합니다.

OWASP ModSecurity Core Rule Set 버전 3.0.2에 따라 프로토콜 공격은 다음을 통해 완화됩니다.

curl -Ii "http://$PUBLIC_SVC_IP/index.html?foo=advanced%0d%0aContent-Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2035%0d%0a%0d%0a<html>Sorry,%20System%20Down</html>"

출력:

HTTP/1.1 403 Forbidden <..>

5. Cloud Shell에서 세션 고정 시도가 차단되었는지 확인합니다.

curl -Ii http://$PUBLIC_SVC_IP/?session_id=a

출력:

HTTP/1.1 403 Forbidden <..>

작업 5. Cloud Armor 보안 규칙 검토

보안 정책을 만들었으므로 이제 어떤 규칙이 구성되었는지 살펴보겠습니다.

규칙은 우선순위에 따라 평가됩니다. 숫자가 작을수록 먼저 평가되며, 일단 트리거되면 우선순위 값이 더 높은 규칙에 대해서는 처리가 계속되지 않습니다.

• 우선순위 9000 - LFI(로컬 파일 포함) 차단
• 우선순위 9001 - RCE(원격 코드 실행/명령어 삽입) 차단
• 우선순위 9002 - 감지된 스캐너 차단
• 우선순위 9003 - HTTP 분할 및 HTTP 스머글링과 같은 프로토콜 공격 차단
• 우선순위 9004 - 세션 고정 공격 차단
• 우선순위 10000 - IP가 웹사이트에 액세스하도록 허용
• 우선순위 기본 - 거부

참고: 사이트에 대한 액세스를 허용하기 위해 'IP 허용' 규칙은 가장 높은 우선순위 번호로 구성되어 있습니다. 하지만 모든 공격은 차단됩니다.

작업 6. Cloud Armor 보안 정책 로그 관찰

Cloud Armor 콘솔 페이지에서 보안 정책의 세부정보를 확인하고 로그 탭을 클릭한 다음 정책 로그 보기 링크를 클릭하여 Cloud Logging 페이지로 이동합니다. 이 페이지는 관심 있는 보안 정책을 기준으로 자동으로 필터링됩니다. 예를 들면 다음과 같습니다. resource.type:(http_load_balancer) AND jsonPayload.enforcedSecurityPolicy.name:. 403 오류 응답 코드를 관찰하고 로그 세부정보를 확장하여 시행된 보안 정책의 이름, 일치하는 필드 값, 사전 구성된 표현식 ID(또는 서명 ID)를 관찰합니다.

이 페이지는 관심 있는 보안 정책을 기준으로 자동으로 필터링됩니다. 예를 들면 다음과 같습니다. resource.type:(http_load_balancer) AND jsonPayload.enforcedSecurityPolicy.name:().

• 403 오류 응답 코드를 관찰하고 로그 세부정보를 확장하여 시행된 보안 정책의 이름, 일치하는 필드 값, 사전 구성된 표현식 ID(또는 서명 ID)를 관찰합니다.

다음 스크린샷은 이 실습에서 구성 및 시행된 보안 정책의 로그 예시를 보여줍니다.

LFI 로그

RCE 로그

스캐너 감지 로그

프로토콜 공격 로그

세션 고정 로그

수고하셨습니다

Google Cloud Armor의 WAF 규칙을 사용하여 일부 일반적인 취약점을 성공적으로 완화했습니다.

설명서 최종 업데이트: 2025년 5월 12일

실습 최종 테스트: 2025년 5월 12일

Copyright 2026 Google LLC. All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.