상위 3개 API 보안 모범 사례 인포그래픽

소개

새로운 디지털 경제에서 성공하고자 하는 조직에 있어서 현 상태는 더 이상 통하지 않습니다. 기존의 보안 제어 방식은 정적이고 유연하지 않습니다. 이러한 API는 API가 보편화되고 오늘날 디지털 경험의 초석이 되기 훨씬 이전, 예측 가능한 사용자 여정과 트래픽 흐름을 갖춘 클라이언트/서버 통신 시대에 설계되었습니다.

제로 트러스트, 최소 권한 액세스, 인증/권한 부여 원칙을 주입하여 보안을 현대화하려는 노력이 성과를 거두었지만, 상황이 바뀌었습니다. 디지털 자산을 통해 거래를 하며 여러분을 응원하는 애플리케이션 게임의 플레이어는 더 이상 전통적인 의미의 사용자가 아닙니다. 점점 더 이러한 "사용자"는 API의 비즈니스 로직 호출이 되고 있으며, 이는 고객이나 잠재 고객뿐만 아니라 파트너나 생태계 통합에서 발생할 수 있습니다. API가 중요하다는 것은 API가 공격자의 훨씬 더 큰 표적이 된다는 것을 의미합니다.

생존을 원하는 조직은 API를 보호하고 데이터 센터, 프라이빗/퍼블릭 클라우드, 에지에 걸쳐 분산되고 끊임없이 변화하는 디지털 구조에서 의도치 않고 예상치 못한 위험을 완화해야 합니다. 성공을 원하는 조직은 몇 가지 핵심 영역에 전략적 노력을 집중하여 하이브리드 및 멀티 클라우드 환경에서 디지털 터치포인트를 보호하는 예측 가능하고 확장 가능하며 자체 방어적인 API 보안 플랫폼을 구축해야 합니다.

전통적 보안 대 현대적 보안

기존의 보안 제어 방식은 전 세계 기업에서 비즈니스 비밀과 고객 데이터를 보호하기 위해 널리 사용되고 있습니다. 회사에서는 민감한 정보에 대한 접근을 제한하여 개인 정보 보호를 보장하고 데이터 유출을 방지하기 위해 트래픽 검사를 실시합니다. API 게이트웨이의 속도 제한과 같은 보안 제어는 서비스 거부(DoS) 공격을 완화하는 데 도움이 됩니다. 그리고 웹 애플리케이션 방화벽(WAF)의 웹 스크래핑 제어는 가격 등의 민감한 정보가 유출되는 것을 방지합니다. 또한 조직에서는 OWASP Top 10에 포함된 위험과 같은 많은 일반적인 위험을 해결하기 위해 정적 코드 분석 및 동적 애플리케이션 보안 테스트와 같은 보안 도구를 함께 사용하는 경우가 많습니다.

하지만 오늘날의 디지털 세계에서는 기존의 보안 조치만으로는 충분하지 않습니다. 그렇기 때문에 많은 조직이 분산 애플리케이션에 대한 인증(AuthN), 권한 부여(AuthZ) 및 동적 트래픽 검사를 포함한 최신 보안 제어를 도입하고 있습니다.

조직에서는 다중 요소 인증, 공개 키 인증서, 생체 인식 및 기타 방법을 사용하여 사람과 장치의 신원을 확인하고 합법적인 사용자와 신뢰할 수 있는 컴퓨터만 데이터에 액세스할 수 있도록 합니다. 권한 부여란 인증된 사용자에게 적절한 권한을 부여하여 해당 사용자가 업무에 필요한 모든 파일과 데이터에 액세스할 수 있도록 보장하는 동시에 해당 사용자가 볼 수 없는 다른 정보는 보지 못하도록 하는 것입니다. 트래픽 검사를 통해 회사는 보안 검사 체인 전반에서 애플리케이션 트래픽을 검사하고, 비정상적인 활동과 잠재적 위협을 식별하며, 회계 또는 사고 대응에 필요한 통찰력을 제공함으로써 위험을 최소화할 수 있습니다.

이러한 제어 기능은 보안 및 위험 팀에서 널리 배포되고 잘 이해되고 있지만 데이터 센터 코어에서 고객 에지에 이르기까지 다양한 디지털 터치 포인트에 이를 구현하는 것은 중요한 과제입니다.

적응형 보안으로의 진화

보안은 점점 더 신원 확인과 검증에 집중되고 있습니다. 조직에서는 제로 트러스트 및 최소 권한 액세스와 같은 방법을 사용하여 보안의 엄격성을 높이고, 기본적으로 사용자나 장치를 신뢰하지 않으며, 사전에 결정된 사용 사례 모델링을 통해 필요한 최소한의 정보로만 액세스를 제한합니다. 기업에서는 악의적인 사용자로부터 잠재적 위협을 나타내는 의심스러운 행동을 감지하기 위해 행동 분석과 같은 방법을 사용하며, 인식된 위협 수준이 높아질수록 인증 프로세스를 더욱 엄격하게 적용하기 위해 위험 기반 제어를 사용합니다.

사물 인터넷은 우리 주변 세계를 연결하고 현대 생활 방식에 활력을 불어넣습니다.

그림 1 : 사물 인터넷은 우리 주변 세계를 연결하고 우리의 현대 생활 방식을 뒷받침합니다.

그러나 오늘날의 기업들은 복잡하고 상호 연결된 아키텍처를 운영하고 있으며, 이로 인해 AuthN, AuthZ와 같은 보안 정책을 일관되게 시행하는 능력이 복잡해졌습니다. IT는 도구의 난잡함과 이기종 환경을 관리하는 과제에 압도당하고 있으며, "사용자"는 인간이 아닌 API, 서비스 또는 기계일 가능성이 높습니다. 건축의 복잡성과 상호 연결성이 커지면서 위험 관리에 있어서도 패러다임의 전환이 필요합니다. 조직이 대규모로 데이터 통찰력을 연관시키고 새로운 위협을 신속하게 해결할 수 있도록 하려면 인공 지능(AI)과 머신 러닝(ML)을 결합한 크로스 플랫폼 가시성이 필요합니다. 이러한 기능은 이제 WAAPaaS(Web App and API Protection as-a-Service) 플랫폼에서 가능합니다.

그림 2: WAF는 시간이 지남에 따라 발전해 온 전략적 보안 제어입니다.

“보안 서비스를 선택하는 가장 중요한 이유는 속도입니다.”¹

적응형 ID 기반 보안

모든 보안 플랫폼에는 긍정적인 운영 모델과 결합된 핵심적인 크로스 플랫폼 애플리케이션 서비스 세트가 필수적이며, 특히 API를 보호할 때 더욱 그렇습니다. 이러한 핵심 애플리케이션 서비스에는 제로 트러스트 및 위험 기반 관리와 함께 데이터 센터나 클라우드 환경 내에서 서비스를 분리하고 이에 대한 액세스를 제공하는 마이크로세그먼테이션이 포함될 수 있습니다. 또 다른 핵심 요소인 기본 심층 방어는 플랫폼 전반에 걸쳐 여러 계층의 보안 제어를 제공하여 한 보안 제어가 동기를 부여받은 공격자를 막지 못하는 경우에도 회복성을 구축합니다.

강력한 네임스페이스 격리는 보안을 강화하기 위해 리소스를 분리하고, 비밀 관리를 통해 현대 아키텍처에서 점차 보편화되고 있는 머신 간 통신에 대한 보안 정책을 일관되게 적용합니다.

그림 3: 크로스 플랫폼 애플리케이션 서비스의 일부로서 AuthN 및 AuthZ에 대한 ID 권한입니다.

긍정적인 보안 운영 모델을 사용하면 조직은 CI/CD 파이프라인에 보안을 통합하고, 새로운 API 엔드포인트를 동적으로 검색하고, API 스키마와 액세스 제어를 시행하고, AI/ML 기반 이상 감지를 통해 중요한 비즈니스 로직을 자동으로 보호할 수 있습니다. 이를 통해 애플리케이션 수명 주기 전반에 걸쳐 정책을 일관되게 적용할 수 있고, 고도로 분산되고 상호 연결된 아키텍처에서 발생하는 위험과 의도치 않은 구성 오류를 줄이고, 악의적인 사용자를 무력화할 수 있습니다.

기반 인프라와 API가 어디에 있든 일관되게 이러한 서비스를 제공하고, 거짓 긍정 분석 및 위험 평가/분류와 같은 작업을 자동화할 수 있는 플랫폼이 있다면 보안 팀은 여러 환경에서 보안 정책을 유지하고 조치와 관련이 없거나 사고 대응이 필요하지 않은 엄청난 양의 보안 경고를 관리하는 일상적인 전술적 과제 대신 전략적 위험 관리에 집중할 수 있습니다.