Always-on detections: eliminating the WAF “log versus block” trade-off

Context

기존 WAF는 새로운 애플리케이션 배포 시 로깅 전용 모드로 시작해 수동으로 규칙을 점진적으로 평가하는 느린 온보딩 프로세스를 거쳐야 했다. 보안팀은 거짓양성을 최소화하기 위해 가시성(로깅 모드) 또는 보호(차단 모드) 중 하나를 포기하는 트레이드오프를 강요당했으며, 규칙이 요청을 차단하면 다른 서명의 평가 결과를 확인할 수 없어 방어 강화에 필요한 인사이트를 잃었다.

Technical Solution

• Detection과 Mitigation 분리: 모든 요청에 대해 탐지 서명을 실행하고 메타데이터를 첨부한 후, 실제 차단 조치는 보안 규칙에 따라 수행
• Always-on Attack Signature Detection 도입: 트래픽이 프록시되는 즉시 모든 탐지 서명을 실행하고 결과를 Security Analytics에 즉시 표시
• 비동기 실행 구조: 고객이 탐지 기반 차단 규칙을 생성하지 않은 경우 탐지를 요청이 오리진 서버로 전송된 후 수행하여 레이턴시 추가 없음
• Full-Transaction Detection 개발: 요청만 분석하는 기존 방식에서 HTTP 트랜잭션 전체(요청+응답)를 상관관계 분석해 반사형 SQL Injection, 데이터 유출 패턴, 위험한 구성 오류 탐지
• 메타데이터 필드 제공: cf.waf.signature.response.categories(서명 카테고리 배열)와 cf.waf.signature.response.ref(Ref ID 최대 10개)를 Security Analytics에서 조회 및 커스텀 정책 생성에 활용

Key Takeaway

보안 기능의 감지와 액션을 아키텍처 수준에서 분리하면 전체 가시성을 확보하면서도 선택적 차단으로 점진적 배포가 가능하며, 비동기 실행으로 기본 설정 상태에서 성능 영향을 제거할 수 있다.