F5 금요일: F5와 3scale을 사용한 API 보안

서비스 지향 아키텍처(SOA)가 유행하고 SOAP 기반 웹 서비스가 통합의 주요 수단이었던 시절, 시장에서는 SOA 게이트웨이에 대한 요구가 생겼습니다. 이러한 솔루션은 관리, 버전 관리, HTTP 라우팅 등의 기능을 제공합니다. 그들이 제공하지 않은 것은 - 적어도 포괄적으로는 - 보안이었습니다. 이러한 이유로 SOA 보안 게이트웨이가 부상하게 되었습니다.

오늘날 API가 유행이며, RESTful, JSON 기반 서비스는 모바일 및 클라우드 기반 앱이 데이터를 교환할 수 있는 기반을 제공합니다. API에는 보안을 포함하여 SOA 게이트웨이와 동일한 서비스 세트가 필요합니다. 하지만 이전 제품과 마찬가지로 대부분의 API 게이트웨이는 비즈니스 및 애플리케이션별 기능에 초점을 맞춥니다.

3scale과 같은 API 게이트웨이는 조직 전체에서 메시지를 평가, 변환하고 보호합니다. 이들은 버전 관리, 속도 제한, 결제 게이트웨이와의 통합과 같은 비즈니스 중심 기능에 대한 지원을 제공합니다. 대시보드는 개발자에게 성능과 사용량을 보여줍니다.

하지만 API 게이트웨이는 반드시 포괄적인 보안 범위를 제공하지는 않습니다. DoS 보호, 악성 콘텐츠 색출, 봇 차단은 고급 WAF와 같은 보안 서비스의 관할 범위입니다. 두 가지를 결합하면 보안 수준이 높아지고 API 무결성에 대한 신뢰도가 높아집니다.

조직의 60%가 모든 개발자가 사용할 수 있는 공개 API( 2018년 API 통합 현황, Cloud Elements )를 제공한다는 점을 고려하면 이는 특히 중요합니다. 개발자라면 누구나 기회를 열어주는 데는 좋지만, 동시에 악의를 품은 사람들의 공격에 기업이 노출될 수도 있습니다.

F5는 3scale과 협력하여 고객이 포괄적으로 안전한 애플리케이션 환경을 즐길 수 있도록 했습니다. 3scale API 게이트웨이 앞에 F5 Advanced WAF를 구축하면 IP 인텔리전스를 사용하여 위협을 더 빠르고 정확하게 식별하고, 내부 또는 외부에서 안전한 API 파사드를 제공하며, 다양한 애플리케이션 계층 공격으로부터 보호하는 등 추가적인 보안 조치를 활용할 수 있습니다.

API가 회사 내부와 외부 모두에서 통합을 위한 주요 수단으로 주목을 받으면서 이러한 중요성이 점차 커지고 있습니다. 2018년 Forbes 기사에 언급된 바와 같이:

최근 몇 달 동안 API 문제로 인해 고객 정보를 노출한 유명 기업 목록에는 온라인 소매업체 거대 기업 Amazon , 통신사 T-Mobile , 식료품 소매업체 Panera Bread , Black Hat 보안 컨퍼런스가 포함됩니다.

이는 여러분이 이 목록에 포함되는 것을 원하지 않는 이유이며, 바로 이 때문에 우리는 3scale과 협력하여 이 솔루션을 시장에 출시하게 되었습니다.

이 솔루션 간략 설명서에서는 F5 Advanced WAF가 3scale과 함께 API를 보호하는 방법에 대해 자세히 알아볼 수 있습니다.