API 보안 NGINX App Protect로 해결하세요.

최근 몇 년 동안 API는 현대적인 앱 경제를 구축하기 위한 사실상의 접근 방식이 되었습니다. API가 증가함에 따라 API 보안 또한 중요해졌습니다.
이러한 소프트웨어 인터페이스는 시스템, 애플리케이션 및 장치가 방대한 범위의 데이터와 기능을 통신하고 공유할 수 있도록 하는 주된 방법이 되었습니다.
본질적으로 API는 정보를 위한 현대적인 실크로드가 되었으며 고객에게 다양한 동종업계들의 최고의 도구를 결합하는 솔루션을 잠금 해제할 수 있는 권한을 진정으로 제공합니다.

MuleSoft의 연례 연결성 벤치마크 보고서 에서 조사한 조직 중 80%가 공개 및/또는 비공개 API를 사용합니다. 보고된 이점으로는 생산성 증가(54%), 혁신 증가(47%), 비용 절감(34%) 등이 있습니다.
설문 조사에 따르면 API는 API를 게시하는 회사에 총 수익의 평균 31%에 해당하는 상당한 수익을 창출합니다.

그러나 모든 것이 장밋빛은 아닙니다. F5 Labs의 연구에 따르면 2020년 상반기 API 보안 사고가 지난 2년 동안 발생한 사고 수를 합친 것보다 더 많이 발생했습니다.
DevOps팀이 직면한 중요한 문제는 API Endpoint 앞의 완전한 인증 부족에서 잘못된 인증 및 잘못된 권한 부여, 기본 구성 오류에 이르기까지 API 보안과 관련된 많은 약점 영역이 있다는 것입니다.

모든 API 활동을 어떻게 보호해야 할까요? 이 포스트에서는 NGINX App Protect 를 중심으로 한 “코드로서의 보안” 접근 방식이 API를 보호하는 데 핵심적인 역할을 하고 신뢰하게 된 다른 보안 공급업체의 솔루션과 함께 CI/CD 파이프라인에 원활하게 적용되는 방법에 대해 설명합니다.

목차

1. API는 직원과 파트너 모두에게 서비스를 제공합니다.
2. 코드로서의 보안, 보호로서의 정책
3. 최신 애플리케이션 인프라를 위한 고급 API 보안
4. 결론

1. API는 직원과 파트너 모두에게 서비스를 제공합니다.

Programmable Web에서 추적한 바에 따르면, 20,000개 이상의 프라이빗, 파트너 및 퍼블릭 API가 사용되고 있어 우리가 매일 사용하는 앱을 가능하게 합니다.
API의 매력, 나아가 API가 실행되거나 연결되는 컨테이너 기반 마이크로서비스의 매력은 직원과 모든 전략적, 상업적 파트너를 포함한 광범위한 사용자에게 소프트웨어 기능과 데이터를 개방할 수 있다는 것입니다. (물론 이 접근 방식은 DevOps 팀에게도 매력적입니다.), 특정 요구사항에 가장 적합한 공급업체를 선택할 수 있습니다.)

예를 들어, 많은 기업이 비공개 및 파트너 API를 활용하여 셀프 서비스 IT를 지원합니다. IT 자산을 검색 및 재사용할 수 있도록 하면 조직의 더 많은 구성원이 매번 DevOps에 의존하지 않고도 더 많은 작업을 수행할 수 있습니다. 올바르게 수행되면 셀프 서비스 IT는 민첩성 향상, 시장 출시 속도 향상, 다양한 벤더를 포함하는 고객 중심 솔루션, 효율성, 혁신 및 높은 마진 수익으로 이어집니다.

이러한 역학 관계는 방정식의 개발 및 프로덕션 측면에도 존재합니다.
컨테이너화된 소프트웨어 및 API를 통해 DevOps팀은 다양한 파트너와 상호 작용할 수 있습니다.
여기에는 OktaAuthO 및 Microsoft 와 같은 ID 및 액세스 관리(IAM) 파트너 와 MuleSoftAkana 및 Kong과 같은 수명 주기 관리 파트너가 포함됩니다.

2. 코드로서의 보안, 보호로서의 정책

오늘날의 급변하는 동적 CI/CD 환경에서 개발자와 DevOps팀은 솔루션을 구현하고 소프트웨어를 빠르고 안전하게 실행하는 데 도움이 되는 애플리케이션 보안 도구를 사용하여 웹 앱 및 API를 보호하기 위한 전체적인 접근 방식이 필요합니다. 팀은 선택한 액세스 관리 및 수명 주기 관리 파트너와 긴밀하게 통합된 상태를 유지하면서 코드를 보호해야 합니다.

지난 몇 년 동안 DevOps가 DevSecOps로 변모함에 따라 보안 자체를 코드로 구현하려는 노력이 있었습니다.
이것은 기업이 모든 코딩이 완료된 후에 보안을 고정하는 것으로 보기보다는 새로운 소프트웨어의 모든 측면에 보안을 구축해야 할 필요성을 인식하기 시작했다는 또 다른 표현입니다.
여기에는 다음과 같은 관행이 포함됩니다.

  • 가능할 때마다 보안을 CI/CD 파이프라인에 직접 내장하여 자동화
  • 보안을 게이트가 아닌 가드레일로 구축(즉, 액세스 권한을 부여하거나 거부하는 대신 지침과 도구를 제공)
  • 분산 및 컨테이너화된 환경을 포함한 모든 환경에서 보안 솔루션이 일관되고 중앙 집중화되며 셀프 서비스를 통해 사용 가능하도록 다양한 파트너와 협력

“코드로서의 보안”은 새 소프트웨어의 모든 측면에 보안을 구축하는 것을 의미합니다.

3. 최신 애플리케이션 인프라를 위한 고급 API 보안

NGINX는 앱 보안을 조정 가능하고 확장 가능하며 안정적으로 만드는 코드로서의 보안 접근 방식의 주요 지지자이며 NGINX App Protect는 이를 가능하게 하는 데 중요한 역할을 합니다. NGINX App Protect 는 Advanced Web Application Firewall (Advanced WAF) 및 Bot Defense의 기본 기능과 API 보안을 결합하여 DevOps를 지원합니다.

  • 자동화 및 CI/CD 프로세스에 무중단 보안 제어(보안 팀의 승인에 따름) 통합
  • 컨테이너 및 마이크로서비스와 같은 분산 환경에서 앱 보안 제어를 배포하고 관리합니다.
  • 릴리스 속도 또는 애플리케이션 성능에 부정적인 영향을 미치지 않으면서 비용 효율적인 보안 제어 구현

NGINX App Protect 를 사용하면 기본 인프라에 구애받지 않는 경량 소프트웨어 패키지로 애플리케이션 보안을 배포할 수 있습니다.
따라서 소프트웨어 개발자는 선언적 정책(“코드로서의 보안”)을 활용하여 API Gateway 또는 기타 Ingress Controller로 들어오고 나가는 모든 것을 보호할 수 있습니다.
이 모델에서는 기본적으로 API 자체가 안전하지 않더라도 NGINX App Protect 를 사용한 보안을 Ingress, Kubernetes Pod 내 또는 서비스 간에 여러 지점에 적용할 수 있습니다.

NGINX는 고객이 우선시하는 다른 업계 리더와 협력하고 전 세계 DevOps팀에서 이미 사용 중인 공급업체 및 제품을 수용하여 전체 애플리케이션 에코시스템을 위한 최첨단 솔루션을 제공하기 위해 최선을 다하고 있습니다.

4. API 보안 결론

API가 정보 공유를 위한 새로운 실크로드가 되고 이전과는 달리 사용자와 연결할 수 있게 됨에 따라 NGINX App Protect는 모든 범위의 잠재적 위협으로부터 앱과 데이터를 보호합니다.
NGINX App Protect 는 파트너 에코시스템과 밀접하게 통합하는 기능을 포함하여 앱을 제공하는 방식을 위해 설계되었습니다. DevOps 환경에서 원활하게 작동하는 이 업계 최고의 솔루션은 DevOps 자동화 및 CI/CD 프로세스 전반에 걸쳐 무중단 보안 제어를 통합하여 앱 보안이 나중에 추가되거나 임시방편으로 둘러싸이지 않도록 합니다.

NGINX App Protect를 직접 사용해 볼 준비가 되셨습니까? 지금 무료 30일 평가판을 시작하거나 사용 사례에 대해 논의하려면 당사에 문의하십시오.