NGINX App Protect가 API 생태계에 보안을 제공합니다

최근 몇 년 동안 API는 현대 앱 경제를 구축하는 사실상의 접근 방식으로 자리 잡았습니다. 이러한 소프트웨어 인터페이스는 시스템, 애플리케이션, 장치가 광범위한 데이터와 기능을 통신하고 공유할 수 있도록 하는 가장 기본적인 방법이 되었습니다. API는 본질적으로 정보를 제공하는 현대식 실크로드가 되었으며, 다양한 공급업체의 최고 수준의 도구를 결합한 솔루션을 고객에게 제공할 수 있는 힘을 제공합니다.

MuleSoft의 연간 연결성 벤치마크 보고서 에 따르면, 조사 대상 기업 중 80%가 공개 및/또는 비공개 API를 사용합니다. 보고된 이점으로는 생산성 증가(54%), 혁신 증대(47%), 비용 절감(34%) 등이 있습니다. 조사에 따르면 API는 이를 게시하는 회사에 상당한 수익을 창출합니다. 전체 수익의 평균 31%입니다.

하지만 모든 것이 장밋빛인 것은 아니다. F5 연구소의 조사에 따르면 2020년 상반기 API 보안 사고는 지난 2년 동안 발생한 사고 수를 합친 것보다 더 많을 것으로 예상됩니다. DevOps 팀이 직면한 가장 큰 과제는 API 보안과 관련하여 많은 취약점이 있다는 것입니다. 여기에는 API 엔드포인트에서의 인증이 전혀 없는 것부터 인증 및 권한 부여가 깨지고 기본적인 구성 오류가 발생하는 것까지 포함됩니다.

이제 문제는 모든 API 활동을 어떻게 보호하느냐는 것입니다. 이 블로그에서는 NGINX App Protect를 중심으로 한 "코드로서의 보안" 접근 방식이 API를 보호하는 데 중요한 이유와 다른 보안 공급업체의 솔루션과 함께 CI/CD 파이프라인에 완벽하게 들어맞는 방식을 설명합니다.

API는 직원과 파트너 모두에게 서비스를 제공합니다.

ProgrammableWeb 의 추적에 따르면, 20,000개가 넘는 비공개, 파트너, 공개 API가 사용되고 있으며, 이를 통해 우리가 매일 사용하는 앱을 구현할 수 있습니다. API의 매력, 그리고 확장해서 API가 실행되거나 연결되는 컨테이너 기반 마이크로서비스의 매력은 직원과 모든 전략적, 상업적 파트너를 포함한 광범위한 사용자에게 소프트웨어 기능과 데이터를 공개할 수 있다는 점입니다. (자연스럽게도 이러한 접근 방식은 DevOps 팀에게도 매력적입니다. 특정 요구 사항에 맞는 최고의 공급업체를 선택할 수 있기 때문입니다.)

예를 들어, 많은 기업이 셀프 서비스 IT를 활성화하기 위해 개인 및 파트너 API를 활용하며, IT 자산을 검색 가능하고 재사용 가능하게 만들면 조직의 더 많은 구성원이 모든 단계에서 DevOps에 의존하지 않고도 더 많은 작업을 수행할 수 있습니다. 올바르게 시행하면 셀프서비스 IT는 더 큰 민첩성, 더 빠른 시장 출시, 다양한 공급업체가 참여하는 고객 중심 솔루션, 효율성, 혁신 및 더 높은 수익 마진으로 이어집니다.

이러한 역동성은 개발 및 프로덕션 측면에서도 존재합니다. 컨테이너화된 소프트웨어와 API를 통해 DevOps 팀은 다양한 파트너와 상호 작용할 수 있습니다. 여기에는 Okta , AuthO , Microsoft 와 같은 ID 및 액세스 관리(IAM) 파트너와 MuleSoft , Akana , Kong 과 같은 수명 주기 관리 파트너가 포함됩니다.

코드로서의 보안, 보호로서의 정책

오늘날의 빠르게 변화하는 역동적인 CI/CD 환경에서 개발자와 DevOps 팀은 솔루션을 구현하고 소프트웨어를 빠르고 안전하게 출시하는 데 도움이 되는 애플리케이션 보안 도구를 사용하여 웹 앱과 API를 보호하는 포괄적인 접근 방식이 필요합니다. 팀은 선택한 액세스 관리 및 수명 주기 관리 파트너와 긴밀하게 통합하는 동시에 코드를 보호해야 합니다.

지난 몇 년 동안 DevOps가 DevSecOps로 바뀌면서 보안 자체를 코드로 구현하려는 움직임이 있었습니다. 이는 기업들이 보안을 모든 코딩이 완료된 후에 추가되는 무언가로 보는 것이 아니라, 새로운 소프트웨어의 모든 측면에 보안을 구축해야 할 필요성을 인식하기 시작했다는 것을 다시 한 번 표현한 것입니다. 여기에는 다음과 같은 관행이 포함됩니다.

• 가능한 경우 CI/CD 파이프라인에 직접 내장하여 보안을 자동화합니다.
• 보안을 게이트가 아닌 가드레일로 구축(즉, 단순히 접근을 허용하거나 거부하는 것이 아니라 안내 및 도구를 제공)
• 분산형 컨테이너화 환경을 포함한 모든 환경에서 보안 솔루션이 일관되고 중앙 집중화되어 있으며 셀프 서비스를 통해 사용 가능한지 확인하기 위해 다양한 파트너와 협력합니다.

"코드로서의 보안"은 새로운 소프트웨어의 모든 측면에 보안을 내장한다는 의미입니다. 즉, 마지막에 보안을 추가하는 것이 아닙니다.

최신 애플리케이션 인프라를 위한 고급 API 보안

F5는 앱 보안을 적응성 있고 확장 가능하며 안정적으로 만드는 보안을 코드로 구현하는 방식을 강력히 지지하며 NGINX App Protect는 이를 실현하는 데 중요한 역할을 합니다. NGINX App Protect는 API 보안을 시장을 선도하는 Advanced Web Application Firewall (Advanced WAF) 및 봇 보호 의 기본 기능과 결합하여 DevOps를 지원합니다.

• 보안 팀의 승인에 따라 중단 없는 보안 제어를 자동화 및 CI/CD 프로세스에 통합합니다.
• 컨테이너 및 마이크로서비스와 같은 분산 환경에서 앱 보안 제어를 배포하고 관리합니다.
• 릴리스 속도나 애플리케이션 성능에 부정적인 영향을 미치지 않고 비용 효율적인 보안 제어를 구현합니다.

NGINX App Protect를 사용하면 기본 인프라에 독립적인 가벼운 소프트웨어 패키지로 애플리케이션 보안을 배포할 수 있습니다. 따라서 소프트웨어 개발자는 선언적 정책("코드로서의 보안")을 활용하여 API 게이트웨이 또는 기타 Ingress 컨트롤러로 들어오고 나가는 모든 것을 보호할 수 있습니다. 이 모델에서는 API 자체가 기본적으로 안전하지 않더라도 NGINX App Protect를 사용한 보안을 수신, Kubernetes Pod 내부 또는 서비스 전체 등 여러 지점에 적용할 수 있습니다.

고객이 우선시하는 다른 업계 리더와 협력하고 전 세계 DevOps 팀에서 이미 사용 중인 공급업체와 제품을 수용하면서 F5와 NGINX는 전체 애플리케이션 생태계를 위한 최첨단 솔루션을 제공하기 위해 최선을 다하고 있습니다.

결론

API가 정보 공유를 위한 새로운 실크로드가 되고 그 어느 때보다 사용자와 연결하는 것이 가능해짐에 따라 NGINX App Protect는 다양한 잠재적 위협으로부터 앱과 데이터를 보호합니다. NGINX App Protect는 파트너 생태계와 긴밀하게 통합하는 기능을 포함하여 앱을 제공하는 방식에 맞춰 설계되었습니다. DevOps 환경에서 원활하게 작동하는 이 업계 최고의 솔루션은 DevOps 자동화 및 CI/CD 프로세스 전반에 걸쳐 중단 없는 보안 제어를 통합하여 앱 보안이 나중에 추가되거나 임시방편으로 사용되지 않고 처음부터 내장되도록 보장합니다.

NGINX App Protect를 직접 사용해 볼 준비가 되셨나요? 오늘 무료 30일 체험판을 시작하거나, 저희에게 연락해 사용 사례에 대해 논의해 보세요 .