보안장비 배치

방어 장비는 이름보다 위치와 실패했을 때의 영향으로 읽는다

방화벽, WAF, IDS, IPS, VPN, SIEM은 한 줄로 나열하면 구분이 흐려진다. 외부망에서 내부망까지 트래픽이 지나가는 위치에 놓으면 탐지, 차단, 우회, 로그 수집의 책임이 분명해진다.

외부망 불특정 요청이 들어오는 곳 스캐닝, 봇, 피싱 링크, 정상 고객 요청이 섞여 도착한다.
DDoS 완화대량 트래픽을 앞단에서 흡수한다.
경계 통과 가능 여부를 먼저 가른다 IP, 포트, 프로토콜, 세션 상태를 기준으로 넓은 차단선을 만든다.
방화벽정책에 없는 흐름을 거부한다.
IPS인라인에서 공격 패턴을 즉시 끊는다.
DMZ 공개 서비스가 머무는 완충 지대 웹 서버와 프록시는 노출되지만 내부 데이터베이스와 직접 섞이지 않는다.
WAFSQL 삽입, XSS 같은 웹 공격을 본다.
IDS 센서통신 사본을 보고 이상 징후를 알린다.
내부망 계정과 데이터가 있는 곳 업무 서버, 데이터베이스, 관리자 단말은 최소 권한과 인증을 더 요구한다.
VPN / NAC접속 주체와 단말 상태를 확인한다.
EDR내부 단말의 실행 행위를 추적한다.
관제는 별도 축

장비 로그는 중앙에서 합쳐야 공격 흐름이 보인다

장비 하나의 경고는 단편이다. 방화벽 차단, WAF 탐지, 서버 로그인, EDR 행위를 같은 시간축에 놓을 때 침투 경로가 이어진다.
수집방화벽, WAF, 서버, 단말 로그를 모은다.
상관분석같은 IP, 계정, 시간대의 이벤트를 묶는다.
대응차단, 격리, 계정 잠금, 패치 작업을 실행한다.
복기정책과 룰을 조정해 반복 침해를 줄인다.
인라인 장비는 장애 영향도 함께 쓴다 IPS와 방화벽은 차단력이 강한 만큼 오탐과 가용성 위험을 가진다.
비인라인 장비는 대응 연결이 필요하다 IDS는 통신을 직접 끊지 않으므로 관제와 정책 반영 절차가 따라야 한다.
계층 방어는 중복이 아니라 보완이다 경계, 웹, 단말, 계정, 로그가 서로 놓친 공격을 다른 위치에서 잡는다.