Nginx ModSecurity와 App Protect 비교

개요

• Nginx 에서 WAF를 사용하는 방법을 알아보려고 검색해보면 ModSecurity와 App Protect 두가지가 검색된다.
• 어떻게 다른가를 정리해둔다.

상세

• nginx mod security vs app protect 로 구글 검색해보면 ModSecurity는 2024년 3월31일에 EoL(End-of-Life)이 된다고 하는 정보가 가장 상단에 검색된다.
• Nginx를 인수한 F5에서 밀고 있는 것은 App Protect로 보인다.
• 여기에 의하면 성능면에서 App Protect가 더 월등한 것으로 나타났다고 한다.
• ModSecurity는 오픈 소스이고 무료로 사용이 가능하다. 원래는 Apache의 하나의 모듈로 개발되었지만 점점 프로젝트가 커져서 현재는 하나의 완전한 WAF가 되었다.
• ModSecurity는 정규표현식으로 룰을 처리한다고 한다. (따라서 문자열처리방식으로 보인다.) App Protect는 바이트코드로 컴파일되어 처리된다. 따라서 ModSecurity에 비해 최대 20배의 초당 처리속도를 가진다고 한다. (https://www.f5.com/content/dam/f5-com/apcj/2021/naver-blog/ebk-Modern-App-API-security-ebook.pdf)
• App Protect는 유료이다. 여기에 의하면 대략 1년에 3000달러 (300만원이상) 비용이 든다고 한다. 기업용의 중요한 사이트에는 사용해도 좋을 것 같다.
• ModSecurity는 무료라는 가장 강력한 장점이 있으므로 시장에서 없어지지는 않을 것 같다.
• 보안엔지니어로서 양쪽다 사용법을 익혀두는게 좋을 것 같다. 그렇지만 우선은 ModSecurity를 익히는게 좋을 것 같다.
• 참고로 AWS WAF는 여기에 의하면 사용하는 양에 따라 다르지만 대략 월30달러에서 80달러 수준인 것 같다. 연간으로 환산하면 360달러에서 960달러 수준이다. App Protect보다 훨씬 싸다.

기타: Nginx ModSecurity 튜토리얼

다음은 Nginx에 ModSecurity를 설치 운영하는 방법을 정리해보자.

• https://hoing.io/archives/9487
• https://owasp.org/www-project-modsecurity-core-rule-set/ (OWASP에서 Core Rule Set을 관리하고 있다.)
• https://www.linode.com/docs/guides/securing-nginx-with-modsecurity/
• netnea.com/cms/nginx-modsecurity-tutorials/