용어집: 사이버 보안 용어 및 정의

웹 앱 및 API 보호(WAAP)란 무엇인가요?

웹 앱 및 API 보호(WAAP)는 API 및 웹 애플리케이션의 보안 위험을 완화하기 위해 함께 작동하는 통합된 보안 서비스 세트를 말합니다.

WAAP 의미

WAAP 솔루션은 취약점 악용, 봇, 자동화된 공격, 서비스 거부, 사기 및 남용, 안전하지 않은 타사 API 통합으로 인한 애플리케이션 보안 위험으로부터 보호합니다. 

통합 보안 제어를 통해 조직은 특정 공격을 차단할 수 있는 실행 가능한 통찰력을 통해 가시성을 개선하고 여러 위협 벡터에 걸쳐 조정된 위협 캠페인을 식별할 수 있습니다.

Buu Lam이 WAAP가 무엇이고, 무엇을 해결해주는지, 그리고 WAAP를 어떻게 활용할 수 있는지에 대한 Brightboard 레슨을 제공합니다.

API와 API 게이트웨이는 무엇입니까?

애플리케이션 프로그래밍 인터페이스(API)는 현대 IT 환경에서 사용자, 애플리케이션, 서비스를 서로 연결하는 가장 일반적인 방법입니다. 대부분의 최신 앱은 API를 사용하여 구축됩니다. API는 애플리케이션이나 서비스 간 통신을 가능하게 하고, 요청 및 응답의 형태로 제품과 서비스 간의 상호작용을 허용하는 소프트웨어 인터페이스입니다. 하지만 API가 많아질수록 공격 표면도 늘어납니다. API가 점점 보편화되고 마이크로서비스 아키텍처에 분산됨에 따라 확장성과 보안을 보장하는 추가 인프라가 필요해졌습니다.

마이크로서비스 기반 애플리케이션의 경우 API 게이트웨이는 시스템에 대한 단일 진입점 역할을 하며 요청 라우팅, 구성 및 정책 시행을 담당합니다. 일부 요청은 적절한 백엔드 서비스로 라우팅하여 처리하고, 다른 요청은 여러 백엔드 서비스를 호출하여 결과를 집계하여 처리합니다.

API 게이트웨이에는 API를 일반적인 위협으로부터 보호하는 보안 기능이 내장되어 있으며, API에 대한 액세스 제어, 인증 및 권한 부여 관리를 포함한 중요한 보안 기능을 제공하여 인증되고 권한이 부여된 사용자만 API에 액세스할 수 있도록 보장합니다.

API 게이트웨이는 로드 밸런서(다중 클러스터 수준)로 Kubernetes 클러스터 앞에 배포되거나, 클러스터 가장자리에 Ingress 컨트롤러(클러스터 수준)로 배포되거나, 클러스터 내부에 서비스 메시(서비스 수준)로 배포될 수 있습니다. 에지와 Kubernetes 클러스터 내에서 API 게이트웨이를 배포하는 경우 Kubernetes 기본 도구를 API 게이트웨이로 사용하는 것이 가장 좋습니다. 이러한 도구는 Kubernetes API와 긴밀하게 통합되어 있으며, YAML을 지원하고, 표준 Kubernetes CLI를 통해 구성할 수 있습니다.

WAAP 솔루션과 함께 API 게이트웨이를 사용하면 서로를 보완하는 추가 보안 계층을 제공할 수 있습니다.  예를 들어, API 게이트웨이는 주로 API에 대한 액세스를 관리하고 보호하는 데 중점을 두는 반면, WAAP 솔루션은 OWASP 상위 10개 취약점, DDoS 공격, 봇 트래픽을 비롯한 광범위한 보안 위협으로부터 웹 애플리케이션과 API를 보호하고 위협 인텔리전스, 동작 기반 이상 탐지와 같은 고급 기능을 제공합니다.  

웹 앱 및 API 보호가 중요한 이유는 무엇입니까?

매력적이고 안전한 디지털 경험을 통해 고객과 소통하는 것은 비즈니스에서 반드시 필요한 일이며, 보안 및 위험 관리 분야의 리더들에게 중요한 초점입니다. 보안과 사용성의 균형을 맞추려는 위험 대 보상 계산은 현대 디지털 경제에서 지금처럼 어렵고 중요하며 수익성이 있었던 적은 없습니다. 

전례 없는 선택권, 마찰이나 실패에 대한 고객의 낮은 허용 범위, 점점 더 커지는 규제의 영향으로 인해 보안에 대한 관점이 비용 센터에서 경쟁력 있는 디지털 차별화 요소로 바뀌고 있습니다. 또한, 애플리케이션은 점점 더 분산되고 분산되어 이기종 및 다중 클라우드 아키텍처에 배포되고 복잡한 소프트웨어 공급망 및 CI/CD 파이프라인에 통합됩니다. 

WAAP 다이어그램 1

그림 1 : 앱은 점점 더 분산화되고 분산됩니다

봇과 자동화된 공격이 점점 더 정교해지고 모바일 앱 사용과 현대적인 앱 개발이 늘어나면서 API 엔드포인트가 급증함에 따라 위협 표면이 극적으로 확장되고 타사 통합으로 인해 예상치 못한 위험이 발생합니다.

산업화된 공격 수명 주기는 자동화로 시작하여 계정 인수 및 사기로 끝납니다.

WAAP 다이어그램 1

그림 2: 애플리케이션 공격은 지속적이고 정교합니다.

 

WAAP 솔루션은 WAF 시장이 봇 관리 , API 보안, DDoS 완화 등의 인접 분야로 발전하는 것을 의미합니다.

클라우드 기반 DDoS 스크러빙 센터와 통합되는 WAF는 역사적으로 WAAP로 분류되었으며, WAF가 데이터 센터, 프라이빗 클라우드 또는 퍼블릭 클라우드의 하드웨어 또는 가상 어플라이언스인지는 중요하지 않습니다. 그러나 시장은 많은 기업이 서비스형 보안 의 형태로 클라우드 기반 WAAP 플랫폼을 선호하는 전환점에 있습니다.

클라우드 기반 WAAP 플랫폼에 대한 관심을 증가시키는 몇 가지 요인이 있습니다.

  1. 사기 및 남용을 억제하기 위한 전문화된 봇 관리 기술의 필요성
  2. 타사 통합으로 인한 위험을 완화할 수 있는 API 검색 및 시행 제어
  3. API, 개발 프레임워크 및 CI/CD 파이프라인을 통한 지속적인 정책 유지 관리
  4. 인간 중심의 AI를 활용한 자동화된 보호 및 거짓 긍정 수정

비즈니스 성과에 초점을 맞춘 클라우드 기반 보안 서비스와 통합된 어플라이언스 기반 WAF는 은행 및 금융 서비스(BFSI)와 같은 규제가 엄격한 산업에서 계속해서 실행 가능하고 선호되는 옵션으로 사용될 것입니다.

클라우드 WAAP 서비스 평가 방법

효과성과 사용 편의성은 종종 WAAP 구매 시 주요 기준으로 언급됩니다.

동급 최고의 WAAP는 조직이 비즈니스 속도에 맞춰 보안 태세를 개선하고, 마찰이나 과도한 오탐지 없이 손상을 완화하고, 운영상의 복잡성을 줄여 하이브리드 멀티클라우드 아키텍처를 중요한 취약성, 비즈니스 로직 남용, 예상치 못한 위험으로부터 지속적으로 보호할 수 있도록 지원합니다. 

주요 기능은 다음과 같습니다.

  • 클라우드 기반 인프라와 전체 애플리케이션 스택에 걸친 보편적 관찰성
  • 동적 API 검색 및 적용
  • 공격자 재편, 확대, 회피 중의 회복력

웹 앱 및 API 보호는 어떻게 작동합니까?

WAAP 솔루션은 다음을 포함하여 다양한 보안 제어 기능을 통합하여 애플리케이션을 보호함으로써 손상, 데이터 유출, 계정 인수 및 애플리케이션 다운타임의 위험을 완화합니다.

  • 웹 애플리케이션 방화벽(WAF)
  • 봇 관리
  • API 보안
  • DDoS 완화

WAAP 솔루션은 여러 가지 폼 팩터로 제공됩니다.

  1. 클라우드 기반 보안 서비스와 통합되는 물리적/가상 WAF 어플라이언스
  2. 클라우드 기반 보안 서비스와 통합되는 마이크로서비스 기반 WAF 인스턴스
  3. WAF, Bot, API 및 DDoS 보안 제어가 통합된 클라우드 기반 WAAP 플랫폼

WAAP 솔루션에는 악성 스크립트/스키밍(예: Magecart 공격 )을 감지하는 클라이언트 측 보안, 악성 집계기를 통한 공격을 방지하는 보안 제어, 수동 사기로 인한 계정 인수를 방지하는 계정 보호 기능도 포함되어 있습니다.

AIP(애플리케이션 인프라 보호) 솔루션은 동적 취약성 발견 및 클라우드 워크로드 보안을 통해 앱 보안을 더욱 강화하고 수정 방법을 개선하며, WAAP 컨트롤과 통합하여 기본 인프라의 악용 및 남용을 방지합니다.

F5는 웹 앱 및 API 보호를 어떻게 처리합니까?

F5 WAAP 솔루션은 모든 아키텍처, 클라우드 및 운영 모델에 기본적으로 적용되어 보안 및 위험 관리 팀에 보편적인 가시성과 일관된 정책 시행을 제공하여 코어에서 클라우드, 엣지까지 레거시 및 최신 앱을 보호합니다. F5 WAAP 솔루션은 배포 모델 및 운영 모델에 대한 유연성과 선택권을 제공합니다.

F5 분산형 클라우드 WAAP는 방대한 실제 데이터 레이크와 머신 러닝 알고리즘과 결합된 탁월한 관찰성을 제공하여 F5 고객이 AI 기반 부가가치 서비스(VAS)를 도입할 수 있도록 지원합니다. 예를 들어, 인증 인텔리전스는 개인화를 개선하고 마찰을 제거하여 합법적인 고객 거래를 최적화하고 유지, 전환 및 충성도를 높입니다.

WAAP 다이어그램 1

그림 3: F5 분산 클라우드 웹 앱 및 API 보호 플랫폼

F5 NGINX는 사용 사례 및 배포 패턴에 따라 API 게이트웨이를 배포하고 운영하기 위한 여러 옵션도 제공합니다. 범용 도구로는 F5 NGINX Plus 가 있으며, 이는 클라우드, 온프레미스 및 엣지 환경 전반에 걸쳐 가볍고 고성능 API 게이트웨이로 배포할 수 있습니다.

Kubernetes 기본 도구에는 API 게이트웨이, ID 및 관찰 기능을 사용하여 Kubernetes 클러스터의 가장자리에서 앱 연결을 관리하는 NGINX Ingress Controller가 포함됩니다.