분산 클라우드 환경에서 API Gateway + WAAP 통합 사례

분산 클라우드 환경에서 API를 보호하려면 고유한 기능 세트와 모범 사례가 필요합니다. 이전에 API 보안 에 대한 중요성에 대해 “shifting left” 하여 시작부터 보안을 구축하고 “shifting right” 하여 글로벌 상태 관리하는 방법을 갖추는 것의 중요성에 대해 설명한 바 있습니다. 이 포스트에서는 클라우드, 온프레미스 및 환경에서 API를 안전하게 제공하는 방법을 실제로 어떻게 실현할 수 있는지 살펴보겠습니다.

문제는 더 이상 클라우드에 있는지가 아니라 얼마나 많은 클라우드에 있는지입니다. 오늘날 대부분의 기업은 “모두에게 적합한 하나의 클라우드” 솔루션이 없다는 것을 인식하고 하이브리드 또는 다중 클라우드 아키텍처로 전환했습니다. F5의 2023년 애플리케이션 전략 상태 보고서 데이터에 따르면 기업의 85%가 둘 이상의 서로 다른 아키텍처로 애플리케이션을 운영합니다.

개발 및 API팀들에게는 이로 인해 많은 부담이 발생합니다. 이들은 복잡하고 분산된 환경에서 규모에 맞게 안전하게 API를 제공하는 업무를 맡고 있습니다. 연결은 더 이상 클라이언트와 백엔드 서비스 간에 이루어지는 것이 아니라, 이제는 서로 다른 클라우드, 지역, 데이터 센터 또는 엣지 위치에 배포된 애플리케이션들 간에 이루어집니다. 한편, 모든 API는 조직의 보안 및 규정 요구 사항을 충족해야 하며, 배포된 위치나 이를 배포하고 보호하는 데 사용되는 도구와 관계없이 이를 보장해야 합니다.

목차

1. 하이브리드 및 멀티 클라우드 API 보안 참조 아키텍처
2. F5 분산 클라우드를 통한 API 검색 및 모니터링
3. NGINX를 통한 Access Control 및 런타임 보호
4. 분산 클라우드 WAAP 결론

1. 하이브리드 및 멀티 클라우드 API 보안 참조 아키텍처

하이브리드 및 멀티 클라우드 아키텍처는 민첩성, 확장성, 탄력성과 같은 다양한 이점을 가지고 있습니다. 그러나 추가적인 복잡성도 추가됩니다. 실제로 F5의 2023년 애플리케이션 전략 현황 보고서는 증가한 복잡성이 현재 기업들이 직면하는 가장 일반적인 도전 과제임을 보여줍니다. 두 번째로 일관된 보안 적용입니다.

오늘날의 문제는 특정 WAF와 같은 일부 보안 솔루션이 API가 필요로 하는 문맥과 보호를 제공하지 못한다는 것입니다. 동시에 특화된 API 보안 솔루션들은 공격을 막기 위한 정책을 생성하고 시행하는 기능이 부족합니다. 따라서 발견, 감시, 관리, 시행에 걸쳐 연결된 스택으로 아키텍처와 기술을 다루는 솔루션이 필요합니다.

실질적으로 API 보안은 API 트래픽이 중요한 인프라 포인트를 통과하는 동안 보호를 제공하기 위해 세 가지 티어에서 통합되어야 합니다.

• 글로벌 티어(Global tier) – 봇 및 DoS 공격으로부터의 엣지 보호, 검색 및 가시성
• 사이트 티어(Site tier) – 개별 클라우드, 데이터 센터 또는 엣지 배포 내의 보호
• 앱 티어(App tier) – API Runtime 근처에 배포된 세분화된 액세스 제어 및 위협 보호

아래의 참조 아키텍처는 F5 분산 클라우드 서비스와 F5 NGINX가 함께 작동하여 멀티 클라우드 및 하이브리드 아키텍처에서 포괄적인 API 보호를 제공하는 방법에 대한 개요를 제공합니다.

이 참조 아키텍처에서 F5 분산 클라우드는 엣지, 클라우드 및 온프레미스 배포 환경에서 글로벌 수준의 보호를 제공합니다. NGINX Plus와 NGINX App Protect WAF는 사이트 또는 앱 단계에서 세밀한 보호를 제공합니다.

이 아키텍처의 각 구성 요소가 제공하는 보안 보호 기능을 살펴보겠습니다.

2. F5 분산 클라우드 를 통한 API 검색 및 모니터링

먼저 퍼블릭 클라이언트의 API 트래픽은 엣지에 배포된 F5 WAAP(Distributed Cloud Web Application and API Protection)를 통과합니다. 결정적으로 이것은 DDoS 공격, 봇(Bot) 남용 및 기타 악용으로부터 글로벌 보호를 제공합니다. 또한 다양한 클라우드, 온프레미스 데이터 센터 및 엣지(Edge) 배포에 들어가는 API 트래픽에 대한 중요한 글로벌 가시성을 제공합니다.

API 트래픽은 빠르게 증가하고 있으며 대부분의 API 공격은 몇 주 또는 몇 달에 걸쳐 천천히 전개됩니다. 정상적인 API 요청과 응답의 홍수 속에서 악성 트래픽을 찾는 것은 마치 헤이스택 안에서 바늘을 찾는 것과 같을 수 있습니다. 이 문제를 해결하기 위해 F5 분산 클라우드는 인공 지능(AI)과 기계 학습(ML)을 활용하여 API 트래픽에 대한 통찰력을 생성합니다. 이로서 API 발견, 엔드포인트 매핑, 그리고 새로운 위협을 나타낼 수 있는 이상 징후를 적극적으로 학습하고 탐지하는 것이 가능해집니다.

F5 분산 클라우드 웹 애플리케이션 및 API 보호(WAAP)가 전역적인 애플리케이션 및 API 보안의 중요한 부분으로 동작함에 따라 다음과 같은 혜택을 제공합니다:

• 자동 API 검색 – third-party 및 섀도우 API에 대한 가시성, 인증 상태 등을 포함하여 에코시스템에 대한 전체 보기를 위해 API를 감지하고 매핑합니다.
• 민감한 데이터 유출 방지 – 주민등록번호, 신용 번호 및 기타 개인 식별 정보(PII)와 같은 민감한 데이터가 노출되지 않도록 감지, 특성화 및 마스킹합니다.
• 모니터링 및 이상 감지 – 트래픽을 지속적으로 검사하고 분석하여 AI 및 ML 도구를 사용하여 이상 및 취약성을 감지합니다.
• 향상된 API 가시성 – Edge API, 내부 서비스 및 third-party 통합 간의 연결을 이해하기 위해 모든 API 끝점에서 트래픽 흐름을 관찰합니다.
• 환경 전반에 걸쳐 강화된 보안 – 스키마 유효성 검사, 속도 제한 및 바람직하지 않거나 악의적인 트래픽 차단을 시행하여 포지티브 보안 모델을 사용합니다.

F5 분산 클라우드 WAAP를 시작하려면 API 보안, 봇 방어, 에지 컴퓨팅 및 다중 클라우드 네트워킹을 포함하는 F5 분산 클라우드 서비스의 무료 엔터프라이즈 평가판을 요청할 수 있습니다.

3. NGINX를 통한 Access Control 및 런타임 보호

API 트래픽이 글로벌 티어를 통과하면 사이트 티어/또는 앱 티어에 도착합니다. 글로벌 티어는 일반적으로 IT 네트워킹 및 보안팀에 의해 관리되는 반면, 사이트 티어와 앱 티어에 있는 개별 API는 소프트웨어 엔지니어링팀에 의해 개발되고 관리됩니다.

접근 제어(access control) 관점에서 API Gateway는 일반적으로 많이 선택되는 방법입니다. 왜냐하면 개발자들이 가장 일반적인 보안 요구사항을 애플리케이션 위에 공유 인프라 티어에게 오프로드(offload)하여 처리할 수 있기 때문입니다. 이로써 개발자나 팀마다 별도의 인증 및 권한 부여 서비스를 구축하는 중복된 노력을 줄일 수 있습니다. API Gateway를 사용하면 보안 요구사항을 중앙 집중화하고 표준화할 수 있으며, 보안 관리의 간소화와 효율성을 도모할 수 있습니다. 또한 보안 강화와 새로운 보안 요소 추가가 용이해집니다.

• 액세스 제어 적용 – API 엔드포인트에 대한 세분화된 액세스(인증 및 권한 부여)를 관리하고 액세스 제어 목록을 생성하여 IP 주소 또는 JWT 클레임을 기반으로 트래픽을 허용하거나 거부합니다.
• 민감한 데이터 암호화 및 마스킹 – mTLS와 end-to-end 암호화를 사용하여 API 간의 통신을 보호하고 API 응답에서 신용 카드 번호와 같은 민감한 데이터를 감지하고 마스킹합니다.
• 위협 감지 및 차단 – 7,500개 이상의 위협 캠페인 및 공격 시그니처로부터 고급 보호 기능을 통해 OWASP API Security Top 10 보호 수준을 넘어섭니다.
• 규모에 맞게 WAF 및 API 트래픽 모니터링 – NGINX App Protect WAF를 사용하여 모든 API Gateway에서 API 트래픽을 시각화하여 오탐지 및 잠재적 위협을 감지합니다.

NGINX API 연결 스택의 무료 30일 평가판을 시작하여 NGINX Management Suite 및 해당 API Connectivity Manager, Instance Manager, Security Monitoring 모듈에 액세스할 수 있으며, API Gateway인 NGINX Plus와 NGINX App Protect WAF 및 DoS 보호.

4. 분산 클라우드 WAAP 결론

NGINX는 클라우드 및 온프레미스 데이터 센터 환경에서 우수한 런타임 보호를 제공합니다. F5 분산 클라우드와 결합하면 보안 및 플랫폼 엔지니어링팀은 관련 앱이 배포된 위치와 관계없이 API 엔드포인트에 대한 지속적인 가시성을 확보할 수 있습니다. F5 분산 클라우드와 NGINX가 함께 제공하는 이로운 특징은 아키텍처를 구축하고 보안하는 데 필요한 모든 유연성을 제공합니다.

NGINX Plus를 직접 사용해 보시려면 30일 무료 평가판을 신청하거나 NGINX STORE에 연락하여 문의하십시오.

아래 뉴스레터를 구독하고 NGINX의 최신 정보들을 빠르게 전달받아보세요.