블로그

API 게이트웨이는 새로운 전략적 제어 지점(하지만 여전히 보안이 부족함)

F5 썸네일
F5
2019년 12월 19일 게시

모놀리식 애플리케이션에서 마이크로서비스 생태계로의 전환으로 인해 API는 전략적이고 중요한 제어 지점이 되었습니다. 웹 애플리케이션 방화벽 (WAF)이 HTTP 기반 애플리케이션을 보호하는 기본 도구인 반면, API에는 적절한 규정 준수, 보안 및 감사를 위한 동등한 제어 기능이 부족했습니다. API 및 비인간 트래픽이 웹앱 트래픽을 능가함에 따라 보안 제어도 강화되어야 합니다. 보안 리더는 새로운 트렌드를 API 보호에 대한 지식을 넓히는 기회로 삼고, 조직 내에서 API 보안을 개선하기 위한 수단으로 활용해야 합니다.

API 폭발은 만연합니다 . API의 확산은 계속될 것입니다. 게다가 API를 밀어붙이는 것이 DevOps 팀만이 아닐 수도 있습니다. 마케팅 팀 등 조직의 다른 부서에서는 마케팅 활동의 일환으로 자체 API를 게시하거나 타사 API를 사용할 수도 있습니다. 보안 팀에게 있어서 사용 중인 API의 정확한 인벤토리는 중요한 첫 단계입니다.

협업이 핵심입니다 . 보안팀은 DevOps와 협력하여 적절한 API 보안 제어를 설계하고 구현해야 합니다. DevOps는 빠르게 움직이기를 원합니다. 보안팀은 DevOps 동작을 이해하고 CI/CD 프로세스에 중앙에서 관리하고 자동화할 수 있는 보안 제어를 도입해야 합니다.

API 게이트웨이 보안이 뒤처짐 – 오늘날의 API 게이트웨이는 일반적으로 인증, 버전 관리, 분석(측정 및 청구)에 중점을 둡니다. 이러한 보안 제어가 중요하지만 API를 완벽하게 보호하지는 못합니다. 충분한 API 보안은 인증 서비스, 7계층 DoS, 데이터 유출, 악용, 주입 및 이상에 대한 공격을 방어하는 데 필요합니다.

조준선에 직접적으로 노출된 API는 여전히 취약합니다.

API는 오늘날 디지털 비즈니스 플랫폼의 핵심이자 중요한 제어 지점입니다. API는 일반적으로 외부에 노출되고 비즈니스 파트너, 고객 및 마이크로서비스에서 액세스할 수 있도록 설계됩니다. 웹 애플리케이션과 마찬가지로 API는 적절한 보호가 필요한 민감한 데이터로 가는 관문이 될 수 있습니다. Venmo, Facebook, Salesforce와 같은 기업에서 최근 발생한 API 관련 사고는 API 보안의 중요성에 대한 교훈을 제공합니다. F5 Labs는 여기에서 주목할 만한 추가 API 실수를 강조합니다.

많은 기술의 발전과 마찬가지로 보안은 종종 뒤처진다. API 보안도 이 규칙의 예외가 아닙니다. API 중심 경제가 발전함에 따라 보안 전문가들은 API 보안을 다루는 규모, 속도 및 복잡성에 압도될 수 있습니다.

API의 대량 확산은 계속될 것입니다. 애플리케이션이 기업의 초점이 되면서 API의 확산도 계속해서 급증할 것입니다. Programable Web API 디렉토리에서는 2019년에 게시된 API가 급격히 증가했습니다(매월 수백 개의 새로운 API가 추가됨). 특히 업계에서 API 기반 상호 운용성을 추진함에 따라 이 수치는 계속 증가할 것으로 예상됩니다. EU의 PSD2(개정된 지불 서비스 지침)가 좋은 예입니다.

보안은 CI/CD 파이프라인과 보조를 맞춰야 합니다. "버전 관리"를 지원하는 API 게이트웨이를 사용하면 API 제공자는 기존 클라이언트 통합을 중단하지 않고도 새로운 기능과 특징을 지속적으로 추가할 수 있습니다. 이는 CI/CD에는 좋지만, 보안 때문에 프로세스가 느려진다면 비즈니스에 직접적인 영향을 미쳐 애자일 개발의 이점이 무산될 수 있습니다. 이러한 환경에 발맞추기 위해서는 보안 제어를 자동화하고 릴리스 프로세스에 통합해야 합니다. 이를 통해 보안 팀은 릴리스 주기에 영향을 주지 않고도 공통 제어를 중앙에서 시행할 수 있습니다.

분산된 API 보안 소유권이 문제입니다. API는 모바일 앱, 마이크로서비스, 클라우드, 온프레미스 등 조직 전체에서 사용됩니다. 조직 전체의 가시성과 API 인벤토리 기능은 아직 개발 중이어서 일부 API는 보안 팀의 관할 범위를 벗어납니다. 조직 간 리더십과 이해 관계자는 일관된 보안 관행과 통제를 시행하는 방법에 대해 교육을 받아야 합니다.

API 게이트웨이 보안이 아직 미숙합니다. 오늘날 API 게이트웨이를 포지셔닝하는 공급업체는 MuleSoft, Google(Apigee), Kong, Istio, Oracle 등 다양합니다. 이러한 기능은 버전 관리, 라우팅, 분석/측정, 인증과 같은 필수 API 게이트웨이 기능 세트를 제공합니다. 이들 각각은 고유한 장점과 부가가치를 가지고 있지만 액세스 위반, 주입, DoS 및 악용을 방지하는 전체 보안 제어는 다른 보안 게이트웨이 서비스와 함께 구현되어야 합니다.
_____

이제 장면이 설정되었으니 다음 주 블로그를 기대하세요( 여기에 링크 추가됨 ). 그 블로그에서 위에 설명된 과제를 해결하기 위해 여러분이 할 수 있는 일을 자세히 알아보겠습니다...