블로그

F5가 API를 보호하기 위해 왼쪽으로 이동

척 헤린 썸네일
척 헤린
2024년 2월 7일 게시

애플리케이션 프로그래밍 인터페이스(API)는 현대 디지털 생활의 숨겨진 중추 신경계입니다. 하루 종일 API는 우리가 좋아하는 커피숍에서 첫 커피를 구매하는 데 사용하는 앱, 사무실 입구에 배지를 달고, 동료와 함께 점심을 먹기 위해 차량을 빌려 타는 데 사용하는 앱, 날씨를 확인하고, 긴 하루를 보낸 후 좋아하는 TV 쇼를 스트리밍하기 위해 사용하는 앱에 모두 사용됩니다. 우리가 매일 상호작용하는 거의 모든 조직은 API에 의존하여 디지털 비즈니스를 운영하고 있습니다. 조직들이 이를 그렇게 생각하든 그렇지 않든 말입니다.

API 중심 소프트웨어 개발 및 제공의 증가는 수많은 면에서 세상을 더 나은 방향으로 바꾸었습니다. 하지만 문제가 하나 있습니다. 애플리케이션과 아키텍처가 변경되면 공격 표면도 변경됩니다. WAF, DDoS, 봇 보호와 같은 기존의 보안 조치는 여전히 필수적이지만 이러한 API를 완벽하게 보호하기에는 부족합니다. 이러한 API는 당시의 공격 표면을 염두에 두고 만들어졌기 때문에 미래의 공격 표면과 지난 몇 년 동안 API가 빠르게 도입되면서 발생한 변화를 예측할 수 없습니다.

애플리케이션 및 API 보안 분야의 글로벌 리더인 F5 기술은 전 세계 애플리케이션의 거의 절반에 해당하는 데이터 경로에 위치하여 현대 웹 및 모바일 애플리케이션에 대한 공격에 대한 고유한 시야를 제공합니다. 당사 분석에 따르면 현재 웹 기반 사이버 공격의 90% 이상이 API 엔드포인트를 대상으로 하며, 보안 팀에서 적극적으로 모니터링하지 않는 API에 의해 노출된 새롭고 잘 이해되지 않는 취약점을 악용하려고 시도합니다.

공격과 공격 표면이 변화함에 따라 방어 시스템도 그에 맞춰 변화해야 합니다. 현재 업계는 생성적 AI에 중점을 두고 있으며, 이로 인해 인공 지능과 머신 러닝(AI/ML) 모델을 지원하는 앱과 API의 양이 빠르게 늘어나고 있으며, 이로 인해 복잡성이 더욱 커지고 있습니다. 현대 기업에는 비용이 많이 들고 당혹스러우며 종종 예방 가능한 침해로 확대되기 전에 위험을 발견하고 완화하는 데 중점을 둔 역동적인 방어 전략이 필요합니다.

이러한 빠른 변화의 속도로 인해 모든 유형의 조직에 중요한 API를 보호하는 것이 큰 과제가 되었습니다. 이미 많은 부담을 안고 있는 개발자와 방어자 팀은 회사에서 사용하는 API의 수, 위치, 이러한 인터페이스가 지원하는 중요 데이터와 비즈니스 프로세스와 관련된 규정 준수 및 기타 위험조차 알지 못하는 경우가 많습니다.

기술은 끊임없이 변화하지만, API 보안 현상은 사이버 보안의 기본 원칙을 강조합니다. NIST와 같은 주요 제어 프레임워크가 거의 항상 먼저 "식별"으로 시작하는 데에는 이유가 있습니다. 간단히 말해서, 보이지 않는 것을 보호할 수는 없으며, 이해하지 못하는 공격 표면의 위험을 효과적으로 관리하는 것은 불가능합니다.

신용 거래: N. 하나체크/NIST

API 사각지대는 근본적인 문제가 되었으며, 오늘날 너무나 많은 기업이 API와 관련해 맹목적으로 행동하고 있습니다. 가트너 와 다른 업계 분석가들은 적어도 2019년부터 API가 1위 공격 벡터가 될 것이라고 예측해 왔으며, 저희의 데이터도 이 주장을 뒷받침하고 있으며, 둔화될 조짐은 보이지 않습니다.

사이버보안 산업은 지금까지 API 개발의 특정 측면을 겨냥한 포인트 솔루션을 주로 출시하며 대응해 왔습니다. 이러한 제품은 다양하지만 제한적인 기능을 제공합니다. 예를 들어, 사용 중인 것으로 알려진 API를 찾는 API 검색이나, 취약성을 찾고 이러한 격차를 메우는 데 도움이 되는 스캐닝 및 테스트 도구가 있습니다.

하지만 API 보안의 미래는 여러 가지 솔루션을 조합해서 스스로 통합하려는 것이 아닙니다. F5 분산 클라우드 서비스를 소개합니다.

회사의 미래를 건설하려면 회사를 미래에 대비시켜야 합니다.

분산 컴퓨팅 및 애플리케이션 보안 분야를 선도하는 F5는 API에 대한 이러한 필수적인 강조가 다가올 것을 예상하고 5년 전부터 F5 분산 클라우드 서비스라는 이름으로 시장에 출시된 획기적인 기능 모음을 구축하기 시작했습니다.

오늘날의 AI 기반 앱은 온프레미스, 클라우드, 엣지 배포 전반에서 분산된 데이터 소스, 모델, 서비스를 사용하며, 이는 빠르게 증가하는 수의 API로 결합됩니다. 고객이 이처럼 얽힌 과제와 기회를 탐색할 수 있도록 돕기 위해 F5는 F5 분산 클라우드 서비스에 고급 API 코드 테스트와 원격 측정 분석을 제공하여 업계에서 가장 포괄적이고 AI에 적합한 API 보안 솔루션을 제공한다는 기쁜 소식을 전 합니다. API 보안 혁신 기업인 Wib으로부터 최근 인수한 기능 추가로 애플리케이션 개발 프로세스에서 취약성을 탐지하고 관찰할 수 있으며, API가 프로덕션에 들어가기 전에 위험을 식별하고 정책을 구현할 수 있습니다.

API 보안의 미래와 마찬가지로 F5 분산 클라우드 플랫폼은 모든 엔터프라이즈 컴퓨팅의 미래를 위해 구축되었으며 다음과 같은 필수 속성을 공유합니다.

  • 멀티클라우드
  • API 우선
  • AI로 구동

최고를 더욱 더 좋게 만들기

F5는 이미 웹 앱 및 API 보호( WAAP ) 서비스의 F5 분산 클라우드 제품군에서 강력한 API 검색 및 보호 기능을 제공했습니다. 이 플랫폼은 API에 대한 강력한 스키마를 자동으로 생성하고 검증하고, 실행 가능한 통찰력을 통해 API 위험을 밝히고, AI/ML을 활용하여 복잡한 API 공격을 완화하는 등의 기능을 제공합니다. F5는 분산형 클라우드 WAAP, NGINX App Protect 및 BIG-IP Advanced WAF를 통해 고객에게 어디서나 모든 앱과 API를 보호할 수 있는 독보적인 기능을 제공합니다.

이제 F5는 전체 API 수명 주기를 처리하기 위해 왼쪽으로 이동합니다.

Wib 플랫폼과 F5 Distributed Cloud API Security를 결합하면 업계에서 가장 포괄적인 API 보안 솔루션이 제공됩니다.

이를 달성하기 위해 다음을 통해 현재 API 검색 및 보호 기능을 강화하고 있습니다.

  • API 코드 분석을 통해 API 엔드포인트를 발견하고 프로덕션에 배포되기 전에 위험을 평가합니다.
  • API 테스트를 통해 취약점을 조사하고 코드와 트래픽 분석에서 감지된 의심되는 위협을 검증합니다.
  • 고객의 규제 요구 사항에 맞춰 적절한 API 보안 태세를 보장하기 위한 API 규정 준수 분석을 실시합니다 .
  • 조직의 공개 자산을 모니터링하여 새로운 API의 출현과 보안 거버넌스 범위 밖에 있는 API를 파악하기 위한 API 위협 표면 평가입니다 .
  • 모든 정보 소스에서 모든 위협, 취약성 또는 통찰력이 검증되는 완벽하게 통합된 솔루션을 만드는 API 보안 퓨전 엔진입니다 .


Wib의 전 CTO이자 새로 임명된 F5er로서, 저는 Wib 기능을 F5 Distributed Cloud Services에 도입하는 데 대한 팀의 열정을 공유하며, 우리는 이미 기술을 통합하여 전 세계가 본 적이 없는 가장 견고하고 포괄적인 API 보안 플랫폼을 제공하기 위해 열심히 노력하고 있습니다.

코드에서 클라우드까지 진정한 가시성과 보안을 제공하는 세계 최초의 종합적 앱 및 API 보안 솔루션으로 앱과 API를 보호하세요.

F5를 사용해서 어디서나 실행하고, 어디서나 안전하게 보호하세요.