응용 프로그램 전략의 상태: 누가 귀하의 API 보안 전략을 주도해야 합니까?
적어도 세 가지 좋은 답변이 있고, 그렇지 않은 답변도 몇 가지 있습니다.
특히 기술과 관련된 전략은 종종 임원의 몫입니다. 보안 관련 전략에 관해서는 종종 CISO가 그 역할을 맡고, 그런 역할이 없으면 CIO가 그 역할을 맡습니다.
하지만 일부 조직에서는 API 보안 전략을 추진하는 책임을 다른 역할에 위임합니다. 개발자, SRE, 심지어 네트워크 전문가까지도 오늘날 API 보안 전략을 담당하게 될 수 있습니다.
아마도 그러한 결정의 결과가 어떻게 될지에 대한 실제 연구가 없기 때문일 것입니다. 결국, 개발자들이 API 보안 전략을 추진하는 데는 충분한 이유가 있는 것처럼, 개발, 테스트 또는 프로덕션 중이든 API를 사용하는 모든 사람에게 어떤 식으로든 책임을 지우는 데도 충분한 이유가 있습니다.
API 보안에 대한 최근의 심층 조사 에서 우리는 모든 응답자(API 보안 결정권자)에게 조직에서 API 보안 전략을 주도하는 역할을 맡고 있는 사람이 누구인지 물었습니다. 우리는 개발자부터 네트워크 전문가, 조직 간 접근 방식까지 다양한 응답을 발견했습니다.
하지만 우리는 API를 보호하기 위해 조직이 사용하는 보안 서비스 유형에 대한 몇 가지 구체적인 내용도 물었습니다. 여기에는 DDoS 보호, 액세스 제어, mTLS, SSL과 같은 서비스가 있습니다. 우리는 이러한 서비스의 배포를 전략적 실행의 구체적인 표현으로 사용했습니다. 왜냐하면 이는 보안 전략에서 파생된 정책을 시행하는 데 필요한 통제 수단 중 일부이기 때문입니다. 그런 다음 API 보안 전략을 주도하는 사람에 따라 어떤 서비스가 배포되었는지 살펴보았습니다.
솔직히 말해서 우리는 그 결과에 깜짝 놀랐습니다.
API 보안 전략이 조직 간 책임일 때 가장 포괄적인 서비스 세트가 배포되었으며, 그 다음으로는 보다 일반적인 보안 조직과 CIO/CISO 리더십이 배포되었습니다.
더욱 우려스러운 점은 SRE가 보안 전략을 주도할 때 API 보안은 API 수명 주기의 테스트 단계까지 통합되지 않는다는 것입니다. API 보안 전략을 선도하기 위한 다른 선택이 이루어질 경우 API 보안 통합은 주로 설계 또는 개발 단계에서 시작됩니다. 네트워크 팀이 API 보안 전략을 추진하는 경우에도 API 보안을 통합하는 단계는 개발 단계라고 말합니다.
좋은 소식은 대부분의 조직이 API 보안 전략을 정의하는 책임을 이 세 가지 중 하나에 지정한다는 것입니다. 단 8%만이 개발자에게 맡기고, 그보다 더 적은 수(3%)만이 네트워크 전문가가 처리하길 기대하며, 단 1%만이 이 작업을 SRE에게 맡깁니다.
이는 API 보안이 할당된 도메인과 긴밀하게 일치합니다. 그 결정은 전략을 누가 추진하는지에 따라 크게 영향을 받기 때문입니다. API 보안 전략이 CIO/CISO 리더십에 의해 주도되거나 조직 간으로 간주되는 경우 API 보안은 일반적으로 4가지 도메인에 분산됩니다. API 관리, 애플리케이션 보안, 네트워크 및 보안은 애플리케이션 보안과 별개입니다. API를 방어하고 보호하는 서비스가 여러 도메인에 걸쳐 있을 수 있다는 점을 고려하면 이는 합리적입니다.
따라서 조직에서 API 보안 전략을 CIO/CISO 리더십, 보안에 할당하거나 조직 전체의 책임으로 간주한다면 축하합니다! 귀사의 전략적 접근 방식은 다양한 공격으로부터 API를 방어하고 보호하는 보안 서비스를 통해 포괄적인 보안 제어를 실현하는 데 도움이 됩니다.
오늘의 보도자료를 읽고 최신 보고서를 받아보면 API의 비밀스러운 삶을 더욱 깊이 파헤칠 수 있습니다. 이 문서에서는 더욱 무서운 통계를 찾아볼 수 있지만, 기업 내부에서 API가 실제로 사용되는 방식과 조직이 API를 안전하게 유지하는 데 중요하다고 생각하는 보안 역량에 대해서도 자세히 알아볼 수 있습니다.