엔드포인트와 통합의 지속적인 확대로 인한 API의 확산은 보안팀이 수동 방법을 사용하여 중요한 비즈니스 로직을 식별하고 보호하는 것을 비현실적으로 만듭니다. API는 하이브리드 및 멀티 클라우드 환경을 비롯한 이기종 인프라에 점점 더 많이 분산되고 있으며, 그 결과 중요한 비즈니스 로직이 중앙 집중식 보안 제어 영역 외부에 노출되고 있습니다. 또한 애플리케이션 개발팀은 혁신을 위해 빠르게 움직이기 때문에 API 호출이 비즈니스 로직 깊숙이 숨겨져 있어 식별하기 어려울 수 있습니다. 

혁신 속도에 중점을 두다 보니 보안은 뒷전으로 밀려나는 경우가 많습니다. 때로는 API 자체의 설계에서 보안이 간과되기도 합니다. 종종 보안을 고려하지만 여러 클라우드와 아키텍처에 걸쳐 있는 애플리케이션 배포를 유지 관리해야 하는 미묘한 복잡성 때문에 정책이 잘못 구성되는 경우가 있습니다. 

API는 기계 간 데이터 교환을 위해 설계되었기 때문에 많은 API가 민감한 데이터에 대한 직접적인 경로가 되며, 사용자 대면 웹 양식의 입력 유효성 검사와 동일한 위험 제어가 없는 경우가 많습니다. 하지만 이러한 엔드포인트는 웹 앱을 괴롭히는 것과 동일한 공격, 즉 취약성 익스플로잇, 비즈니스 로직 악용, 액세스 제어 우회로 인해 데이터 유출, 다운타임, 계정 탈취(ATO)로 이어질 수 있는 공격의 대상이 됩니다.

웹 애플리케이션과 동일한 위험 제어를 사용하여 API 엔드포인트를 평가해야 할 뿐만 아니라 섀도 및 좀비 API의 경우처럼 보안팀의 권한 밖에 있거나 본질적으로 폐기된 엔드포인트에서 의도하지 않은 위험을 완화하려면 추가적인 고려가 필요합니다. 

API는 웹 애플리케이션을 대상으로 하는 것으로 알려진 동일한 공격에 취약하기 때문에, API 보안 사고는 가장 주목받는 데이터 침해 사고의 원인이 되었습니다. 취약한 인증/권한 제어, 잘못된 구성, 비즈니스 로직 남용, 서버 측 요청 위조(SSRF)와 같은 위험은 웹 앱과 API 모두에 영향을 미칩니다. 봇과 악의적인 자동화로 인한 취약점 악용 및 남용이 가장 큰 우려 사항입니다.

• 인젝션 및 크로스 사이트 스크립팅(XSS)으로 인해 데이터가 무단으로 액세스될 수 있습니다.
• 분산 서비스 거부(DDoS)로 인해 중요한 수익 창출 서비스가 중단될 수 있습니다.
• 인증정보 스터핑 및 기타 자동화된 공격은 침해, 데이터 유출, 사기로 이어질 수 있습니다.

애플리케이션은 점점 더 분산되고 분산된 모델로 이동하고 있으며, API가 상호 연결 역할을 하고 있습니다. 비즈니스 가치를 높이는 모바일 앱과 써드파티 통합은 온라인 세계에서 성공적으로 경쟁하기 위한 필수 요소가 되었습니다. F5 Labs 연구에서는 최신 애플리케이션 아키텍처를 채택하는 산업이 늘어나면서 API가 어떻게 공격의 표적이 되고 있는지 자세히 설명하며, 부분적으로는 API가 더 구조화되고 공격자가 작업하기 쉽기 때문입니다.

총체적인 거버넌스 전략 없이 API가 널리 배포되면 위험이 증가합니다. 이러한 위험은 복잡한 공급망과의 통합 및 CI/CD 파이프라인을 통한 자동화로 인해 애플리케이션과 API가 시간이 지남에 따라 지속적으로 변경되는 애플리케이션 수명 주기 프로세스로 인해 더욱 악화됩니다.

다양한 인터페이스와 잠재적 위험 노출로 인해 보안 팀은 최신 앱의 구성 요소를 나타내는 모든 창뿐만 아니라 프론트도어를 보호해야 합니다.

머신 러닝의 발전으로 API 엔드포인트를 동적으로 발견하고 상호 의존성을 자동으로 매핑할 수 있게 되어 시간에 따른 API 통신 패턴을 분석하고 위험을 증가시키는 섀도 또는 문서화되지 않은 API를 식별할 수 있는 실용적인 방법을 제공할 수 있게 되었습니다. 

또한 지속적인 엔드포인트 모니터링 및 분석을 통해 보안 기준선을 자율적으로 구축할 수 있어 보안팀의 불필요한 워크로드 증가 없이 실시간 탐지, 자동화된 위험 점수 부여, 악의적인 사용자에 대한 완화를 제공합니다

이러한 지속적이고 자동화된 보호는 모든 API에 대해 모든 아키텍처에 일관되게 적용할 수 있는 고도로 보정된 정책을 통해 익스플로잇을 완화하고, 봇과 악용을 차단하며, 스키마, 프로토콜 규정 준수, 접근 제어를 시행합니다.

기업은 최신 아키텍처와 타사 통합을 활용하여 레거시 앱을 현대화하는 동시에 새로운 사용자 경험을 개발해야 합니다. 코어에서 클라우드, 엣지에 이르기까지 API를 보호하는 전체적인 거버넌스 전략은 알려진 위험과 알려지지 않은 위험을 줄이면서 디지털 혁신을 지원합니다.

F5 솔루션은 어떤 환경에서도 유연하게 운영할 수 있는 유연성을 제공합니다. 범용 가시성 및 ML 기반 자동화된 보호 기능은 효율성을 극대화하고 보안 팀의 부담을 덜어줍니다. F5는 퓨어플레이/니치 솔루션을 통합하고 하이브리드 및 멀티 클라우드 환경을 일관되게 보호하여 복원력과 치료 능력을 향상시킬 수 있습니다.

API 보안 배포 시 주요 고려 사항에는 다음이 포함됩니다:

1. 하이브리드 및 멀티 클라우드 지원
   범용 가시성과 일관된 정책 시행으로 복잡성, 툴 확산, 잘못된 구성 위험이 줄어들고 수정 속도가 향상됩니다.
   
   
2. 기존 개발 프로세스와의 통합
   보안팀은 기본 테라폼 레지스트리를 통해 보안 정책을 CI/CD 파이프라인에 통합하여 애플리케이션 라이프사이클에 보조를 맞출 수 있습니다.
   
   
3. 긍정적 보안 모델
   F5 솔루션은 OpenAPI 정의, Swagger 파일, 제로 트러스트 원칙을 사용하여 스키마를 시행하는 긍정적인 보안 모델을 통해 정책을 간소화합니다.
   
   
4. 자동화된 방어
   ML 기반 이상 징후 탐지는 보안팀이 여러 환경에서 정책을 조정하거나 과도한 오탐으로 인한 부담 없이 취약성 악용, 비즈니스 로직 오용, 서비스 거부를 해결합니다.
   
   
5. 풍부한 시각화
   API 사용 기준선에 대한 드릴다운을 지원하는 보안 대시보드는 운영자가 인사이트를 상호 연관시키고 사고 대응을 단순화하는 데 도움이 됩니다.


6. 보안 복원력
   내구성 있는 원격 측정과 고도로 학습된 머신러닝을 통해 디지털 비즈니스의 속도에 맞춰 보다 효율적이고 효과적인 보안을 지원하고 새로운 적대적인 AI 공격을 완화할 수 있습니다.

F5 솔루션은 클라우드와 아키텍처 전반에서 중요한 비즈니스 로직과 타사 통합을 지속적으로 검색하고 자동으로 보호하여 전체 엔터프라이즈 포트폴리오의 API를 보호합니다. 

탄력적인 ML 기반 방어와 결합된 포괄적이고 일관된 보안 정책을 통해 조직은 API 보안을 디지털 전략에 맞춰 조정할 수 있습니다. 이를 통해 기업은 리스크 관리를 개선하고, 자신감을 가지고 혁신하며, 운영을 간소화할 수 있습니다.

실제 F5 Distributed Cloud 보기.