블로그 | NGINX

NGINX 및 F5 Distributed Cloud WAAP를 사용한 멀티 클라우드 API 보안

NGINX-F5-수평-검정-유형-RGB의 일부
앤드류 스티펠 썸네일
앤드류 스티펠
2023년 8월 1일 게시

이제 문제는 당신이 구름 속에 있는지 아닌지가 아니라, 얼마나 많은 구름 속에 있는지입니다. 오늘날 대부분의 기업은 "모든 상황에 적합한 단일 클라우드" 솔루션이 없다는 사실을 인식하고 하이브리드 또는 멀티 클라우드 아키텍처로 전환했습니다. F5의 2023년 애플리케이션 전략 현황 보고서에 따르면, 기업의 85%가 두 개 이상의 서로 다른 아키텍처로 애플리케이션을 운영하고 있습니다.

개발 및 API 팀에 있어서 이는 엄청난 압박감을 안겨줍니다. 그들은 복잡하고 분산된 환경에서 대규모 API를 안전하게 제공하는 임무를 맡고 있습니다. 연결은 더 이상 단순히 클라이언트와 백엔드 서비스 간이 아니라 서로 다른 클라우드, 지역, 데이터 센터 또는 엣지 위치에 배포된 애플리케이션 간에서도 이루어집니다. 한편, 모든 API는 배포 위치와 API를 제공하고 보호하기 위해 사용된 도구에 관계없이 조직의 보안 및 규정 준수 요구 사항을 충족해야 합니다.

이러한 고도로 분산된 환경에서 API를 보호하려면 고유한 기능과 모범 사례가 필요합니다. 저는 이전에 API 보안에 대한 두 가지 접근 방식 의 중요성에 대해 글을 썼습니다. 처음부터 보안을 구축하기 위한 "왼쪽으로 이동"과 일련의 글로벌 포스처 관리 관행을 통한 "오른쪽으로 보호"입니다. 이 블로그 게시물에서는 클라우드, 온프레미스, 엣지 환경에서 API를 안전하게 제공하면서 해당 전략을 실제로 적용하는 방법을 살펴보겠습니다.

하이브리드 및 멀티 클라우드 API 보안 참조 아키텍처

하이브리드 및 멀티 클라우드 아키텍처는 특히 민첩성, 확장성 및 복원성 측면에서 많은 확실한 이점을 가지고 있습니다. 하지만 이는 복잡성을 한층 더 높입니다. 실제로, F5의 2023년 애플리케이션 전략 상태 보고서는 복잡성 증가가 오늘날 기업이 직면한 가장 흔한 과제라는 점을 보여주었습니다. 두 번째로 흔한 문제는 무엇일까요? 일관된 보안을 적용합니다.

오늘날의 문제는 특정 WAF 와 같은 일부 보안 솔루션이 API에 필요한 컨텍스트와 보호 기능이 부족하다는 것입니다. 동시에 전담 API 보안 솔루션은 공격을 차단하기 위한 정책을 만들고 시행하는 능력이 부족합니다. 발견, 관찰, 관리 및 시행을 포괄하는 상호 연결된 스택으로 아키텍처와 기술을 처리하는 솔루션이 필요합니다.

실제로 API 보안은 API 트래픽이 중요한 인프라 지점을 통과할 때 보호를 제공하기 위해 3단계에 걸쳐 통합되어야 합니다.

  • 글로벌 계층 – 봇 및 DoS 공격으로부터의 에지 보호, 발견 및 가시성
  • 사이트 계층 – 개별 클라우드, 데이터 센터 또는 에지 배포 내 보호
  • 앱 계층 – API 런타임 근처에 배포된 세분화된 액세스 제어 및 위협 보호

아래 참조 아키텍처는 F5 분산 클라우드 서비스 와 F5 NGINX가 어떻게 함께 작동하여 멀티 클라우드 및 하이브리드 아키텍처에서 포괄적인 API 보호를 제공하는지에 대한 개요를 제공합니다.

F5 Distributed Cloud는 엣지, 클라우드, 온프레미스 배포 전반에 걸쳐 글로벌 수준의 보호를 제공합니다.

이 참조 아키텍처에서 F5 Distributed Cloud는 엣지, 클라우드, 온프레미스 배포 전반에 걸쳐 글로벌 계층의 보호를 제공합니다. NGINX 플러스 와 함께 NGINX 앱 보호 WAF 소프트웨어 개발 라이프사이클에 통합하여 런타임 보안을 강화하여 사이트 계층 및/또는 앱 계층에서 세분화된 보호 기능을 제공합니다.

이 아키텍처의 각 구성 요소가 제공하는 보안 보호 기능을 살펴보겠습니다.

F5 Distributed Cloud를 통한 API 검색 및 모니터링

시작하려면 공개 클라이언트의 API 트래픽이 에지에 배포된 F5 분산 클라우드 웹 애플리케이션 및 API 보호(WAAP)를 통과해야 합니다. 가장 중요한 점은 이를 통해 DDoS 공격 , 봇 남용 및 기타 악용으로부터 글로벌 보호를 제공한다는 것입니다. 또한 다양한 클라우드, 온프레미스 데이터 센터 및 에지 배포에 들어오는 API 트래픽에 대한 중요한 글로벌 가시성을 제공합니다.

API 트래픽은 급속히 증가하고 있으며, 대부분의 API 공격은 몇 주 또는 몇 달에 걸쳐 천천히 진행됩니다. 정기적으로 쏟아지는 API 요청과 응답 속에서 악성 트래픽을 찾아내는 것은 마치 건초더미에서 바늘을 찾는 것과도 같을 수 있습니다. 이 문제를 해결하기 위해 F5 Distributed Cloud는 인공 지능(AI)과 머신 러닝(ML)을 사용하여 API 검색, 엔드포인트 매핑, 새로운 위협이 될 수 있는 이상 징후의 능동적 학습 및 탐지를 포함하여 API 트래픽에 대한 통찰력을 생성합니다.

앱 및 API 보안의 글로벌 계층 역할을 하는 F5 Distributed Cloud WAAP는 다음과 같은 이점을 제공합니다.

  • 자동 API 검색 – API를 감지하고 매핑하여 타사 및 섀도 API에 대한 가시성, 인증 상태 등을 포함하여 생태계에 대한 전체적인 보기를 제공합니다.
  • 민감한 데이터 유출 방지 – 사회보장번호, 신용번호 및 기타 개인 식별 정보(PII)와 같은 민감한 데이터가 노출되지 않도록 탐지, 특성화 및 마스크합니다.
  • 모니터링 및 이상 감지 – AI 및 ML 도구를 사용하여 트래픽을 지속적으로 검사하고 분석하여 이상 및 취약성을 감지합니다.
  • 향상된 API 가시성 – 모든 API 엔드포인트에서 트래픽이 어떻게 흐르는지 관찰하여 에지 API, 내부 서비스 및 타사 통합 간의 연결성을 파악합니다.
  • 환경 전반에 걸친 보안 강화 – 스키마 검증, 속도 제한, 바람직하지 않거나 악의적인 트래픽 차단을 시행하여 긍정적인 보안 모델을 사용합니다.

F5 분산 클라우드 WAAP를 시작하려면 API 보안, 봇 방어, 엣지 컴퓨팅, 멀티 클라우드 네트워킹이 포함된 F5 분산 클라우드 서비스의 무료 엔터프라이즈 평가판을 요청하세요.

F5 NGINX를 통한 액세스 제어 및 런타임 보호

API 트래픽이 글로벌 계층을 통과하면 사이트 계층 및/또는 앱 계층에 도착합니다. 글로벌 계층은 일반적으로 IT 네트워킹 및 보안 팀에서 관리하지만, 사이트 계층과 앱 계층의 개별 API는 소프트웨어 엔지니어링 팀에서 구축하고 관리합니다.

액세스 제어에 있어서 API 게이트웨이는 일반적인 선택입니다. 이는 개발자가 가장 일반적인 보안 요구 사항 중 일부를 애플리케이션 위의 공유 인프라 계층으로 오프로드할 수 있기 때문입니다. 이를 통해 중복되는 작업(예: 각 개발자 또는 팀이 자체 인증 및 권한 부여 서비스를 구축하는 것)이 줄어듭니다.

F5 NGINX Management Suite API Connectivity Manager를 사용하면 플랫폼 엔지니어링 및 DevOps 팀이 개발자가 요청 티켓이나 기타 복잡한 시스템을 작성하지 않고도 API 게이트웨이, 개발자 포털 등의 공유 인프라에 대한 액세스를 제공할 수 있습니다.

API Connectivity Manager를 사용하면 보안 정책을 설정하여 NGINX Plus를 API 게이트웨이로 구성하고 NGINX App Protect WAF 정책을 구성하고 모니터링할 수 있습니다. 이 두 가지 기능을 함께 사용하면 다음을 포함하여 중요한 API 런타임 보호 기능을 제공할 수 있습니다.

  • 액세스 제어 시행 – API 엔드포인트에 대한 세분화된 액세스(인증 및 권한 부여)를 관리하고 IP 주소 또는 JWT 클레임을 기반으로 트래픽을 허용하거나 거부하는 액세스 제어 목록을 만듭니다.
  • 민감한 데이터 암호화 및 마스크 – mTLS 및 종단 간 암호화를 통해 API 간 통신을 보호하고 API 응답에서 신용 카드 번호와 같은 민감한 데이터를 탐지하고 마스크합니다.
  • 위협 탐지 및 차단OWASP API 보안 상위 10위 의 보호를 넘어 7,500개 이상의 위협 캠페인과 공격 시그니처로부터 고급 보호 기능을 제공합니다.
  • 대규모 WAF 및 API 트래픽 모니터링 – NGINX App Protect WAF를 사용하여 모든 API 게이트웨이에서 API 트래픽을 시각화하여 거짓 긍정 및 잠재적 위협을 감지합니다.

NGINX API 연결 스택의 무료 30일 평가판을 시작하면 NGINX Management Suite와 해당 API 연결 관리자, 인스턴스 관리자, 보안 모니터링 모듈에 액세스할 수 있으며, API 게이트웨이로 NGINX Plus와 WAF 및 DoS 보호를 위한 NGINX App Protect도 사용할 수 있습니다.

결론

NGINX는 클라우드와 온프레미스 데이터 센터 환경 전반에서 탁월한 런타임 보호 기능을 제공합니다. F5 Distributed Cloud와 결합하면 보안 및 플랫폼 엔지니어링 팀은 관련 앱이 배포된 위치에 관계없이 API 엔드포인트에 대한 지속적인 가시성을 확보할 수 있습니다. F5 Distributed Cloud와 NGINX를 함께 사용하면 필요한 모든 방식으로 아키텍처를 구축하고 보안할 수 있는 완벽한 유연성을 제공합니다. 

추가 자료

F5 NGINX에 대한 더 많은 블로그 게시물 읽기 ›

"이 블로그 게시물에는 더 이상 사용할 수 없거나 더 이상 지원되지 않는 제품이 참조될 수 있습니다. 사용 가능한 F5 NGINX 제품과 솔루션에 대한 최신 정보를 보려면 NGINX 제품군을 살펴보세요. NGINX는 이제 F5의 일부가 되었습니다. 이전의 모든 NGINX.com 링크는 F5.com의 유사한 NGINX 콘텐츠로 리디렉션됩니다."