API는 최신 애플리케이션의 기반입니다. API는 서로 다른 시스템이 함께 작동할 수 있게 함으로써 출시 기간을 단축하고 방대한 타사 에코시스템을 활용하여 향상된 사용자 경험을 제공할 수 있습니다. 반면에 API 사용이 급증함에 따라 아키텍처가 분산되고 알려지지 않은 위험이 발생하기도 합니다. 이로 인해 앱과 API의 보안이 더욱 어려워졌고, 이는 공격자들에게 매우 매력적인 대상이 되었습니다. 기업들이 계속해서 앱 포트폴리오를 현대화하고 새로운 디지털 경제에서 혁신을 거듭함에 따라 API의 수는 2031년까지 10억 개에 달할 것으로 예상됩니다.
분산 보안
F5는 데이터 센터, 클라우드, 엣지, 모바일 앱 뒤, 타사 통합 등 API가 실행되는 모든 곳에서 실행됩니다.
일관된 적용
F5 보안은 API 스키마 학습, 자동화된 위험 점수, ML 기반 보호에 기반한 포지티브 보안 모델을 사용합니다.
연속 보호
F5 솔루션은 보편적인 가시성, 실행 가능한 인사이트, 고도로 훈련된 머신 러닝을 제공하여 API 뒤에 숨은 중요한 비즈니스 로직을 지속적으로 발견하고 자동으로 방어합니다.
엔드포인트와 통합의 지속적인 확대로 인한 API의 확산은 보안팀이 수동 방법을 사용하여 중요한 비즈니스 로직을 식별하고 보호하는 것을 비현실적으로 만듭니다. API는 하이브리드 및 멀티 클라우드 환경을 비롯한 이기종 인프라에 점점 더 많이 분산되고 있으며, 그 결과 중요한 비즈니스 로직이 중앙 집중식 보안 제어 영역 외부에 노출되고 있습니다. 또한 애플리케이션 개발팀은 혁신을 위해 빠르게 움직이기 때문에 API 호출이 비즈니스 로직 깊숙이 숨겨져 있어 식별하기 어려울 수 있습니다.
혁신 속도에 중점을 두다 보니 보안은 뒷전으로 밀려나는 경우가 많습니다. 때로는 API 자체의 설계에서 보안이 간과되기도 합니다. 종종 보안을 고려하지만 여러 클라우드와 아키텍처에 걸쳐 있는 애플리케이션 배포를 유지 관리해야 하는 미묘한 복잡성 때문에 정책이 잘못 구성되는 경우가 있습니다.
API는 기계 간 데이터 교환을 위해 설계되었기 때문에 많은 API가 민감한 데이터에 대한 직접적인 경로가 되며, 사용자 대면 웹 양식의 입력 유효성 검사와 동일한 위험 제어가 없는 경우가 많습니다. 하지만 이러한 엔드포인트는 웹 앱을 괴롭히는 것과 동일한 공격, 즉 취약성 익스플로잇, 비즈니스 로직 악용, 액세스 제어 우회로 인해 데이터 유출, 다운타임, 계정 탈취(ATO)로 이어질 수 있는 공격의 대상이 됩니다.
웹 애플리케이션과 동일한 위험 제어를 사용하여 API 엔드포인트를 평가해야 할 뿐만 아니라 섀도 및 좀비 API의 경우처럼 보안팀의 권한 밖에 있거나 본질적으로 폐기된 엔드포인트에서 의도하지 않은 위험을 완화하려면 추가적인 고려가 필요합니다.
API는 웹 애플리케이션을 대상으로 하는 것으로 알려진 동일한 공격에 취약하기 때문에, API 보안 사고는 가장 주목받는 데이터 침해 사고의 원인이 되었습니다. 취약한 인증/권한 제어, 잘못된 구성, 비즈니스 로직 남용, 서버 측 요청 위조(SSRF)와 같은 위험은 웹 앱과 API 모두에 영향을 미칩니다. 봇과 악의적인 자동화로 인한 취약점 악용 및 남용이 가장 큰 우려 사항입니다.
애플리케이션은 점점 더 분산되고 분산된 모델로 이동하고 있으며, API가 상호 연결 역할을 하고 있습니다. 비즈니스 가치를 높이는 모바일 앱과 써드파티 통합은 온라인 세계에서 성공적으로 경쟁하기 위한 필수 요소가 되었습니다. F5 Labs 연구에서는 최신 애플리케이션 아키텍처를 채택하는 산업이 늘어나면서 API가 어떻게 공격의 표적이 되고 있는지 자세히 설명하며, 부분적으로는 API가 더 구조화되고 공격자가 작업하기 쉽기 때문입니다.
총체적인 거버넌스 전략 없이 API가 널리 배포되면 위험이 증가합니다. 이러한 위험은 복잡한 공급망과의 통합 및 CI/CD 파이프라인을 통한 자동화로 인해 애플리케이션과 API가 시간이 지남에 따라 지속적으로 변경되는 애플리케이션 수명 주기 프로세스로 인해 더욱 악화됩니다.
다양한 인터페이스와 잠재적 위험 노출로 인해 보안 팀은 최신 앱의 구성 요소를 나타내는 모든 창뿐만 아니라 프론트도어를 보호해야 합니다.
머신 러닝의 발전으로 API 엔드포인트를 동적으로 발견하고 상호 의존성을 자동으로 매핑할 수 있게 되어 시간에 따른 API 통신 패턴을 분석하고 위험을 증가시키는 섀도 또는 문서화되지 않은 API를 식별할 수 있는 실용적인 방법을 제공할 수 있게 되었습니다.
또한 지속적인 엔드포인트 모니터링 및 분석을 통해 보안 기준선을 자율적으로 구축할 수 있어 보안팀의 불필요한 워크로드 증가 없이 실시간 탐지, 자동화된 위험 점수 부여, 악의적인 사용자에 대한 완화를 제공합니다
이러한 지속적이고 자동화된 보호는 모든 API에 대해 모든 아키텍처에 일관되게 적용할 수 있는 고도로 보정된 정책을 통해 익스플로잇을 완화하고, 봇과 악용을 차단하며, 스키마, 프로토콜 규정 준수, 접근 제어를 시행합니다.
기업은 최신 아키텍처와 타사 통합을 활용하여 레거시 앱을 현대화하는 동시에 새로운 사용자 경험을 개발해야 합니다. 코어에서 클라우드, 엣지에 이르기까지 API를 보호하는 전체적인 거버넌스 전략은 알려진 위험과 알려지지 않은 위험을 줄이면서 디지털 혁신을 지원합니다.
동적 API 검색
엔터프라이즈 앱 에코시스템 전반에서 API 엔드포인트를 탐지합니다.
이상 징후 탐지
자동화된 위험 점수 및 머신 러닝을 사용하여 의심스러운 행동과 악의적인 사용자를 식별합니다.
API 정의 가져오기
OpenAPI 사양에서 포지티브 보안 모델을 만들고 적용합니다.
프로토콜 및 인증 규정 준수
REST, GraphQL, gRPC, 다양한 인증 유형 및 JSON 웹 토큰(JWT) 기반 API를 지원합니다.
정책 자동화
개발 프레임워크 및 보안 에코시스템에 통합합니다.
시각화 및 인사이트
API 관계 그래프를 구성하고 엔드포인트 메트릭을 평가합니다.
F5 솔루션은 어떤 환경에서도 유연하게 운영할 수 있는 유연성을 제공합니다. 범용 가시성 및 ML 기반 자동화된 보호 기능은 효율성을 극대화하고 보안 팀의 부담을 덜어줍니다. F5는 퓨어플레이/니치 솔루션을 통합하고 하이브리드 및 멀티 클라우드 환경을 일관되게 보호하여 복원력과 치료 능력을 향상시킬 수 있습니다.
F5 솔루션은 클라우드와 아키텍처 전반에서 중요한 비즈니스 로직과 타사 통합을 지속적으로 검색하고 자동으로 보호하여 전체 엔터프라이즈 포트폴리오의 API를 보호합니다.
탄력적인 ML 기반 방어와 결합된 포괄적이고 일관된 보안 정책을 통해 조직은 API 보안을 디지털 전략에 맞춰 조정할 수 있습니다. 이를 통해 기업은 리스크 관리를 개선하고, 자신감을 가지고 혁신하며, 운영을 간소화할 수 있습니다.