웹 앱 및 API 보호(WAAP) 솔루션으로 해결되는 최신 API 보안 위험 및 과제

WAF는 API 보안을 위한 귀중한 도구이지만, 모든 WAF가 동일하게 만들어진 것은 아니며 일부 WAF는 API를 보호하는 데 한계가 있습니다. 이러한 제한에는 다음이 포함될 수 있습니다.

• 복잡한 API 권한 처리: API는 웹 애플리케이션에서 사용되는 기존 세션 기반 인증을 넘어 더 복잡한 인증 메커니즘을 사용하는 경우가 많습니다. WAF는 OAuth 2.0, JWT(JSON 웹 토큰), 사용자 정의 토큰 기반 인증과 같은 복잡한 권한 부여 스키마를 처리하는 데 어려움을 겪을 수 있습니다.
• 프로토콜 및 페이로드 변형 분석: API는 다양한 프로토콜(REST, GraphQL, SOAP)과 페이로드 형식(JSON, XML)을 활용하여 다양한 데이터 구조와 스키마를 적용할 수 있습니다. WAF는 이러한 변형을 구문 분석하고 검증하는 데 제한적인 지원을 제공할 수 있으며, 이로 인해 위협 탐지에서 가시성이 제한되고 더 많은 거짓 긍정(또는 거짓 부정)이 발생할 가능성이 있습니다.
• 속도 제한: API 속도 제한은 악의적 행동과 API 리소스 고갈을 방지하는 데 매우 중요합니다. WAF는 API 요청의 동적 특성과 API별 매개변수에 따른 속도 제한 요구 사항으로 인해 API 트래픽의 속도를 정확하게 제한하는 데 어려움을 겪을 수 있습니다.
• API 특정 공격에 대한 통찰력: API는 매개변수 오염, API 특정 주입 공격, API 남용 시나리오 등 특정 공격 벡터에 취약합니다. WAF에는 이러한 API 관련 공격을 효과적으로 탐지하고 완화하는 데 필요한 특수 규칙이나 경험적 방법이 없을 수 있습니다.
• API 관리 기능: WAF는 주로 보안 측면에 초점을 맞추며 API 거버넌스, 문서화, 버전 관리 및 개발자 포털 기능에 필요한 포괄적인 API 관리 기능이 부족할 수 있습니다.

WAF가 앱 보안의 초석이자 API를 보호하는 기본 계층이기는 하지만, 그보다 더 중요한 것이 있다는 점을 알아두는 것이 중요합니다. 조직에서는 비용, 복잡성, API를 적절히 보호하는 방법 에 대한 오해와 오해 등 다양한 이유로 다양한 접근 방식을 고려하고 구현하고 있습니다. 많은 조직에서는 API 게이트웨이를 기존 WAF에 추가하여 사용 정책을 시행하고 액세스를 제어하는 동시에 API를 생성, 관리, 게시하고 있습니다. 이는 좋은 시작점이지만 API 보안 태세에는 여전히 많은 허점이 있습니다.

그럼, 다음은 무엇일까요? 알려지지 않은/그림자 API를 어떻게 처리하나요? 세부적인 API 엔드포인트 제어는 어떻습니까? 반드시 제어할 수 없는 타사 API는 어떻습니까? 알려지지 않은...섀도우 API에 도전해 보겠습니다. 조직은 모든 API 기반을 포괄하기 위해 작업하면서 혼합하여 사용할 수 있는 전문 API 검색 및 취약성 도구를 찾아야 할 수도 있습니다.

이게 어디로 가는지 알겠어요? 상황이 매우 빠르게 매우 복잡해집니다. 예산, 전문성, 리소스를 갖춘 일부 조직은 동종 최고의 접근 방식을 선호하지만, 대부분의 경우 서로 다른 솔루션의 패치워크로 API 보안 위협 표면을 다루는 것은 복잡성 이라는 가장 큰 보안 과제 중 하나를 영구화할 뿐입니다. 더 많은 포인트 솔루션을 추가하면 빠르게 더 이상 지속 가능하지 않게 되며, 효과적인 모니터링과 가시성을 확보하는 것도 매우 어려워집니다.

웹 앱 및 API 보호(WAAP) 솔루션을 소개합니다. 왜 서로 다른 공급업체의 독립적인 기술을 더 많이 쌓아야 하고, 이미 복잡한 앱 보안 생태계에 대한 통찰력을 응집력 있게 연관시키지 못할까요? 따라서 WAAP 제품이 발전하고 진화하게 되었습니다. 최신 WAAP 솔루션은 기존 WAF의 기능과 API 모니터링 및 보안에 필수적인 특수 기능을 결합하여 최신의 마이크로서비스 기반, 멀티 클라우드 및 하이브리드 앱 환경에 대한 보안 요구 사항에 대한 해답이 될 수 있습니다. 이 모든 것이 하나의 통합 솔루션(종종 SaaS로 제공)으로 제공됩니다.