멀티 클라우드 API 확산 시대의 애플리케이션 보안 과제 해결

앱 개발자와 보안 팀이 힘을 합쳐 API 보안 과제를 성공적으로 해결할 수 있도록 돕기 위해 Google Cloud와 F5가 특별 웨비나 이벤트인 Untangling APIs를 위해 함께 모였습니다. 확산에 대응하고 디지털 생태계를 보호하세요 . 이 대화에서는 API 확산, 관리 및 보안에 관해 조직이 갖고 있는 (또는 갖고 있어야 할) 어려운 질문에 대한 여러 가지 적절하고 실행 가능한 답변을 발견했습니다.

라이브 세션에 참석할 수 없었더라도 걱정하지 마세요. 이 블로그 게시물에서 몇 가지 하이라이트를 볼 수 있고 주문형 녹화 영상 도 볼 수 있습니다.

ActualTech Media의 Jess Steinbach가 사회를 맡은 이 행사에는 Google Cloud의 전략 기술 파트너 관리자 Joshua Haslett , F5의 수석 제품 마케팅 관리자 Ian Dinno , F5의 제품 관리 이사 David Remington 등이 저명한 발표자로 참여했습니다. 이들은 API 보안의 핵심 인물로 함께 앉아 참석자들에게 조직 전반에 걸쳐 보다 포괄적인 앱 및 API 보안 전략을 도입하는 데 대한 전문가 조언과 실질적인 지침을 제공했습니다.

토론 중 제기된 주요 사항 중 하나는 전체론적 접근 방식으로 가는 올바른 길을 찾는 것이었는데, 조직의 애플리케이션 생태계 전체에서 사용되는 API 수가 전례 없는 속도로 계속 증가함에 따라 이를 해결하기가 더욱 어려워졌습니다. 참석자의 질문 중 하나에서 강조된 것처럼 API 확산으로 인해 발생하는 보안, 거버넌스 및 효율성 문제는 하이브리드 클라우드 인프라의 도입 증가와 복잡한 다중 앱 비즈니스 프로세스를 작동시키는 수많은 마이크로서비스로 인해 더욱 심화됩니다.

API 확산과 관련된 데이터 침해, 계정 인수, 사기 등의 위험을 해결하려면 조직의 애플리케이션 보안 프로그램에 지속적인 검색 및 모니터링, 런타임 보호, 실시간 포스처 관리를 제공하는 API 보호 기술이 포함되어야 합니다. 이 프로그램은 또한 보안 방법론과 코드 테스트를 소프트웨어 개발 라이프사이클 초기에 쉽게 통합하여 CI/CD 파이프라인을 계속 움직일 수 있는 프로세스로 지원되어야 하며, 이는 릴리스 지연, 사용자 경험에 부정적인 영향을 미치지 않고 애플리케이션 다운타임을 발생시키지 않는 방식으로 이루어져야 합니다.

팀에서 어떤 API가 실행되고 있는지, 어디에서 실행되고 있는지에 대한 적절한 그림을 가지고 있다고 생각되면 새로운 앱이나 API 엔드포인트가 추가되거나 기존 앱이나 API 엔드포인트가 업데이트될 가능성이 높습니다. 이는 보안을 담당하는 팀에서 볼 수 없는 새로운 타사 서비스이거나 여러 개의 새 API 또는 업데이트된 API일 수 있으며, 조직에 새로운 취약한 진입점과 노출을 추가합니다. 확산을 따라잡기 위한 끝없는 싸움으로 인해 보안 팀이 이러한 서비스를 개별적으로 그리고 완벽하게 작동하는 애플리케이션의 일부로 평가하고 보호하는 것이 더욱 어려워지고 있습니다.

애플리케이션 인프라의 복잡성이 확대됨에 따라 위협 환경의 위험성이 높아지는 것에 대해 이안과 데이비드는 API 보안 에서 AI와 머신 러닝이 공격 범위와 규모, 필요한 보호 측면에서 중요한 역할을 할 것이라는 확고한 입장을 밝혔습니다.

웨비나에서 패널이 논의한 또 다른 중요한 요소는 API 보안 상태에 대한 가시성을 확보해야 할 필요성이었습니다. 예를 들어, 한 참석자는 패널에 최근 일부 시스템과 애플리케이션에서 성능 문제와 기타 중단이 발생하기 시작했다고 설명했습니다. 하지만 그들은 API 확산이 활발한 공격에 의해 악용되고 있다는 징후가 보이는지 쉽게 확인할 수 없었습니다. 이는 많은 팀이 겪고 있는 일반적인 문제인 듯합니다.