APIM 솔루션은 정말 안전한가요?

NGINX 는 업계에서 가장 보편적으로 사용되는 API Gateway로, Apigee, Axway, IBM DataPower, Kong, Red Hat 3scale, Torry Harris 등의 APIM 솔루션에서 API 트래픽을 처리하는 인프라 구성 요소입니다. 2018년에 설문 조사에 참여한 사용자 중 40% 이상이 API Gateway로 NGINX Plus를 배포했다는 사실을 고려하면, NGINX가 전 세계 API 트래픽의 대부분을 처리하고 있다고 해도 과언이 아닙니다. Akamai가 전 세계 인터넷 트래픽의 83%를 API 트래픽으로 보고 있다는 점을 고려하면 이는 그리 놀라운 수치는 아닙니다.

NGINX가 API 세계에서 그토록 보편적인 이유는 무엇일까요? NGINX는 API 환경에 필수적인 고성능, 보안, 인증 서비스를 모두 제공하기 때문입니다. NGINX는 요청에 대한 속도 제한(Rate Limit) 또는 특정 사용자에 대한 대역폭 제한을 적용하여 DDoS 공격을 방지하고, NGINX Plus는 인증 및 세분화된 액세스 제어를 제공하여 API 기반 서비스를 보호합니다.

결론은 API Gateway는 전반적인 API 보안에서 중요한 구성 요소라는 것입니다. 하지만 API Gateway 자체는 얼마나 안전한지 자문해 볼 필요가 있습니다. 이 포스트에서는 API Gateway의 보안이 중요한 이유와 이를 악용할 때의 위험에 대해 생각하는 방법을 설명합니다.

목차

1. Bare Naked API Management 솔루션
2. NGINX의 APIM 모듈로 안심하고 사용하세요.

1. Bare Naked API Management

위에 나열된 모든 APIM솔루션은 사용자 정의된 버전의 NGINX 오픈 소스를 사용하거나 (Kong의 경우처럼) OpenResty와 같은 third-party 모듈을 기반으로 구축됩니다. OpenResty는 개발자가 사용자 정의 및 특정 사용 사례를 위해 널리 사용하는 NGINX 및 LuaJIT 기반의 확장 가능하고 유연한 플랫폼입니다. OpenResty는 빠르긴 하지만, 원시 구성 파일을 사용하고 Lua를 수정하지 않는 네이티브 NGINX 만큼 빠르지는 않습니다.

또한 OpenResty를 사용하여 구축된 솔루션은 잠재적으로 심각한 취약점에 노출될 수 있습니다. NGINX팀이 심각한 취약점을 발견하는 상황을 생각해 봅시다. 드물기는 하지만 이러한 취약점이 발견되었습니다. 이러한 문제가 발견되면 엔지니어링팀이 문제를 해결하는 즉시 NGINX Plus를 사용하는 모든 고객에게 패치가 제공됩니다. 오픈 소스 사용자는 보통 1~2주 이내에 이 패치와 CVE 알림을 받게 됩니다.

OpenResty와 같은 수정된 NGINX 빌드는 어떻게 되나요? OpenResty팀의 최선의 노력에도 불구하고 버그 수정을 qualify, port, test 하는 데 시간이 걸리므로 어느 정도 지연이 예상되는 것은 당연합니다. 그리고 이 지연은 기본 NGINX 소프트웨어에서 더 멀리 떨어져 있는 Kong과 같은 종속 제품을 통해 계단식으로 이어집니다.

예를 들어, 2018년 가을에 발견된 HTTP/2의 취약점에 대한 두 가지 CVE(CVE-2018-16843 및 CVE-2018-16844)에 대해 NGINX Plus R16 및 NGINX Open Sourece 1.15.6에 보안 패치를 적용했습니다. OpenResty는 패치 적용 후 4개월 만인 2019년 3월 3일에 수정 사항이 포함된 릴리스 후보를 발표했습니다. 따라서 Kong과 같이 OpenResty를 기반으로 구축된 솔루션은 코드베이스를 패치하는 데 더 오랜 시간이 걸립니다. Kong의 경우 핵심 패치를 적용하는 데 있어 OpenResty와 같은 긴박감을 공유하지 않는 것 같습니다.

이로 인해 악의적인 공격자가 이러한 솔루션을 악용할 수 있는 상당한 기회의 창이 열려 있으며, API, 애플리케이션, 백엔드 서버 및 프로세스가 모두 노출되어 있습니다. APIM 솔루션의 핵심 기능인 보안 제공이 손상될 수 있습니다.

이 그림은 NGINX 오픈 소스 위에 구축된 API 관리 솔루션에 대한 최근 CVE 패치에서 관찰한 일반적인 기간을 보여줍니다. 보안 패치는 NGINX Plus와 NGINX Open Source에 즉시 적용됩니다. NGINX 패치를 통합하는 기간은 전적으로 OpenResty와 NGINX Open Source를 사용하는 Kong과 같은 APIM 솔루션에 달려있습니다.

2. NGINX의 APIM 모듈로 안심하고 사용하세요.

API 경제가 부상하면서 신뢰는 third-party 개발자, 공급업체, 배포자, 리셀러, 심지어 고객으로 구성된 API 에코시스템의 핵심이 되었습니다. 신뢰는 API 아키텍트, 개발자, I&O, DevOps팀에게 중요한 관심사이며, NGINX Connectivity Manager 모듈의 핵심 원칙입니다. 당사는 고객이 안심하고 사용할 수 있도록 NGINX Plus(APIM 솔루션에서 API 트래픽을 처리하는 기본 Gateway)에서 발견된 보안 문제가 즉시 해결된다는 확신을 제공합니다.

NGINX Plus를 직접 사용해 보시려면 30일 무료 평가판을 신청하거나 NGINX STORE에 연락하여 논의하십시오.

NGINX에 대한 최신 정보들을 빠르게 전달받고 싶으시다면, 아래의 뉴스레터를 구독하세요.