고급 보안으로 API 강화

기술 뉴스를 보면 "또 다른 날, 또 다른 보안 침해"라는 느낌이 드는 경우가 많습니다. 하지만 침해는 API에 대한 공격의 형태를 취하는 경우가 점점 더 늘고 있습니다. 운동을 위해 휴식을 취하는 경우에도 안전하지 않습니다. 최근 한 보안 연구원은 고정 자전거 공급업체인 펠로톤 의 API가 인증되지 않은 요청에 응답하여 개인 사용자 계정 데이터를 전달했다는 사실을 발견했습니다!

F5의 2021년 애플리케이션 전략 상태 보고서에 따르면, 응답자의 58%가 애플리케이션을 현대화하기 위해 API 계층을 구축하고 있다고 답했습니다. DevOps, 클라우드, 마이크로서비스의 등장으로 애플리케이션과 이를 뒷받침하는 API는 다음을 포함하되 이에 국한되지 않는 분산 환경 전반에서 지원되어야 합니다.

• 온프레미스, 클라우드 및 하이브리드 환경
• 개발, 테스트, 스테이징, 샌드박스 및 프로덕션 환경
• 개발자 간 협업을 촉진하고 데이터 사일로를 해제하는 내부 API
• 고객, 파트너 및 타사 개발자에게 노출되는 외부 API

API 게이트웨이는 요청 라우팅, API 클라이언트 인증 및 권한 부여, API 기반 서비스가 과부하되지 않도록 속도 제한 적용을 통해 API 트래픽을 중재합니다. 많은 NGINX 고객이 위에 언급된 다양한 분산 환경에서 API 게이트웨이를 성공적으로 배포했지만, 동시에 API가 새로운 공격 벡터로 등장하는 것을 보았습니다. F5의 2021년 애플리케이션 보호 보고서 에 따르면, API 사고의 약 2/3가 API가 완전히 노출되어 발생했습니다. 즉, 인증이나 권한 부여 메커니즘이 없습니다.

NGINX Controller API 관리 모듈은 다음을 포함하여 API를 보호하기 위한 다양한 메커니즘을 제공합니다.

• 속도 제한 – 속도 제한 정책은 API 게이트웨이가 지정된 기간 동안 각 API 클라이언트에서 허용하는 요청 수에 제한을 설정하여 API가 과부하되는 것을 방지하고 DDoS 공격을 완화합니다. 이는 OWASP API 보안 상위 10대 2019 의 리소스 부족 및 속도 제한 (API4) 취약점을 해결하는 데 도움이 됩니다.
• 인증 및 권한 부여 – 인증 및 권한 부여 메커니즘은 올바른 액세스 권한이 있는 클라이언트만 API를 사용할 수 있도록 보장합니다. 그러한 메커니즘 중 하나가 JSON 웹 토큰(JWT)의 클레임 입니다. 이는 OWASP API 보안 상위 10대 2019 의 세 가지 취약점을 해결하는 데 도움이 됩니다. 손상된 객체 수준 인증 (API1), 손상된 사용자 인증 (API2), 손상된 기능 수준 인증 (API5).

API 관리를 위한 NGINX Controller 앱 보안 추가 기능 소개

이제 NGINX Controller API 관리 모듈용 NGINX Controller 앱 보안 애드온을 사용하여 API 보안을 한층 더 강화할 수 있습니다.

모든 환경에서 분산 API 보안

Controller App Security를 사용하면 이제 다중 클라우드 분산 환경에서 웹 애플리케이션 방화벽(WAF)을 배포하여 API를 보호할 수 있습니다. 이 애드온을 사용하면 퍼블릭 클라우드, 프라이빗 클라우드, 베어 메탈, VM 또는 컨테이너 등 어디에든 배포된 NGINX API 게이트웨이와 강력한 보안을 원활하게 통합할 수 있습니다.

NGINX의 "핵심 가치"에 충실한 Controller App Security는 가볍고 플랫폼에 독립적이며 고성능입니다. 어떻게 하면 높은 성과를 달성할 수 있을까? WAF는 NGINX API 게이트웨이와 동일한 위치에 있으므로 API 트래픽의 홉이 하나 줄어들어 대기 시간과 복잡성이 모두 줄어듭니다. 이는 WAF와 통합되지 않는 일반적인 API 관리 솔루션과는 극명한 대조를 이룹니다. WAF는 별도로 배포해야 하며, 일단 설정되면 API 트래픽은 WAF와 API 게이트웨이를 별도로 통과해야 합니다. Controller App Security의 긴밀한 통합은 보안을 손상시키지 않으면서도 높은 성능을 제공합니다.

F5의 입증된 보안 전문성을 바탕으로 구축된 Controller App Security는 OWASP API 보안 상위 10개 취약점은 물론, SQL 주입 및 원격 명령 실행(RCE)과 같은 일반적인 취약점에 대한 즉각적인 보호 기능을 제공합니다. 이 애드온은 잘못된 형식의 쿠키, JSON, XML을 확인하고, 허용된 파일 유형과 응답 상태 코드도 검증합니다. HTTP RFC 준수를 보장하고 공격을 가리는 데 사용되는 회피 기술을 탐지합니다.

향상된 가시성 및 분석

Controller App Security는 다양한 공격 유형에 대한 다양한 지표와 통찰력을 제공합니다. 여기에는 주요 WAF 위협 및 대상 API, 거짓 긍정 조사를 위한 주요 시그니처, WAF 결과 통계, WAF 위반 이벤트가 포함됩니다. 이 수준의 가시성은 OWASP API 보안 상위 10대 2019에서 불충분한 로깅 및 모니터링 취약점(API10)을 해결하는 데 도움이 됩니다.

다음 스크린샷은 추적할 수 있는 몇 가지 측정 항목을 보여줍니다.

• 지난 3시간 동안 특정 위반 유형의 수를 전날 같은 기간과 비교한 결과입니다.

  

• 지난 3시간 동안 API 트래픽에 적용된 시행 모드입니다.

  

• 지난 6시간 동안 가장 많이 발생한 공격 유형입니다.

  

• 지난 30분 동안의 보안 이벤트 로그입니다.

  

유연하고 세심하게 조정된 정책

Controller App Security를 사용하면 보안 정책을 유연하고 세부적으로 제어할 수 있습니다. 이 스크린샷에 표시된 대로 차단 및 모니터링 전용 적용 모드를 모두 설정할 수 있습니다. 두 번째 모드에서는 악성 트래픽이 기록되지만 여전히 API 서버로 전달됩니다. 거짓 양성률을 줄이려면 기본 서명을 비활성화할 수도 있습니다.

이 스크린샷은 가장 많은 API 호출을 차단하는 시그니처 목록을 보여줍니다. 이 정보는 거짓 양성을 줄이기 위해 어떤 시그니처를 조정해야 할지 우선순위를 지정하는 데 사용할 수 있습니다.

DevOps 친화적 API 보안

Controller App Security를 사용하면 셀프 서비스를 활성화하고 보안 및 DevOps 팀 간의 운영 병목 현상을 제거하여 DevOps를 강화할 수 있으며, 자동화를 지원하고 WAF를 CI/CD 파이프라인에 기본적으로 통합할 수 있습니다. 이러한 기능은 개발자와 DevOps 팀이 CI/CD 파이프라인에 보안을 통합하여 소프트웨어 개발 주기의 초기 단계(특히 테스트 단계)에 보안을 적용하는 Shift‑Left 방식을 발전시킵니다. API 보안은 뒷전으로 미루어지지 않습니다. API 개발 프로세스의 필수적인 부분으로, 이를 통해 실제 운영에서 발생하는 문제가 줄어듭니다.

API 관리를 위한 NGINX 컨트롤러 앱 보안을 사용해보시겠습니까? 30일 무료 체험판을 다운로드하거나 저희에게 문의하여 API 보안 요구 사항에 대해 논의해 보세요 .