Security

Akamai API Security

비즈니스 환경이 디지털화됨에 따라 API 보안은 필수 요소가 되었습니다.
우리 솔루션은 강력한 보안 성능과 뛰어난 사용 편의성을 제공하여 API 보안의 새로운 기준을 제시합니다.

구성 요소

강력한 API 보안 기능

위협 탐지 및 차단: 실시간 트래픽 분석을 통해 API 공격을 신속하게 감지하고 차단
OWASP API Security Top 10 대응: API 보안 위협에 대한 완벽한 대응 기능 제공
제로 트러스트(Zero Trust) 모델 적용: 모든 API 요청을 검증하고 보호

지능형 트래픽 관리

비정상 트래픽 탐지: AI 기반 이상 탐지 기술을 활용한 비정상 요청 분석
속도 제한(Rate Limiting) 및 API 보호: API 사용량 제한 설정을 통한 DDoS 방어

손쉬운 통합 및 운영 관리

클라우드 및 온프레미스 지원: 다양한 환경에서 손쉽게 배포 가능
API 가시성 제공: API 트래픽 모니터링 및 이상 탐지를 위한 직관적인 대시보드 제공
자동화된 정책 관리: 보안 정책을 설정하고 자동 적용

작동 방식

모든 API를 검색하고 가시성을 확보해 위협을 방어하세요

API Security는 지속적인 검색과 실시간 분석을 통해 전체 API 자산에 대한 완벽한 가시성을 제공합니다.

빠르게 성장하는 공격표면에서 공격을 탐지하고 리스크를 해결할 수 있도록 취약점을 식별하고 API 행동을 분석하는 방법을 알아보세요.

1. 탐색

API 공격표면을 이해하고 분석하여 API 인벤토리 및 문서 업데이트 비용을 절감합니다.

규제 요건 및 내부 정책 컴플라이언스를 개선합니다.

2. 테스트

문제를 조기에 발견해 속도 저하 없이 코드 품질을 개선하여 시장 출시 시간을 단축해 매출을 증대합니다.

3.탐지

정확히 어떤 일이 발생했는지 파악해 중요한 사업 관련 컨텍스트를 확보합니다.

문제가 발생한 이유를 추론하고 잠재적인 영향을 파악한 수 해결 방법을 정합니다.

4. 대응

공격을 즉시 차단해 리스크를 줄이고 악용되기 전에 취약점을 해결해 다운타임으로 인한 매출 손실을 줄입니다.

네이티브 커넥터로 몇 분 안에 배포

검색

섀도 API

판단

취약한 API

탐지

API 남용

완전한 가시성으로 조사 및 위협 탐지

Akamai만의 차별화 요인: 엣지에서의 차단

Akamai App & API Protector는 Akamai Connected Cloud를 통해 실행되는 앱과 API에 대한 API 위협을 발견 및 방어하고, API Security에서 발견되지 않은 잠재적인 위협이 포함된 모든 트래픽을 차단합니다. Akamai의 API 보안을 함께 배포하면 API에 대한 포괄적이고 지속적인 가시성을 확보하고 모든 애플리케이션 자산에서 API 보안 문제를 발견, 감사, 탐지, 대응할 수 있습니다.

탐색

체계

런타임

테스트

공유 서비스

관리 | 인증 | 애널리틱스 | 보고

적합 작업

네트워크 구성요소 | API 게이트웨이 | 클라우드 플랫폼 | SIEM | 워크플로우 | ITSM 개발 및 CI/CD 플랫폼

배포

SaaS | 하이브리드 | 온프레미스

API Security 사용 사례

API 보안은 SDLC 초기 테스트 및 지속적인 모니터링을 통해 취약점을 탐지하고, OWASP 상위 10대 리스크를 포함한 공격을 방지하여 기업의 API를 보호합니다. 또한 자동 탐색 및 알림 기능을 통해 보안, 개발, 운영 팀이 API 리스크를 신속하게 감지하고 대응할 수 있도록 지원합니다.

API Testing은 API가 프로덕션 환경에 도달하기 전 SDLC(Software Development Lifecycle) 초기에 비즈니스 로직 남용과 같은 취약점을 탐지하고 수정하는 ‘시프트 레프트(shift-left)’를 지원하기 때문에 API 보안 전략에 매우 중요합니다.

API Testing을 사용하면 OWASP 10대 API 보안 리스크를 포함해 악성 트래픽을 시뮬레이션하는 150개 이상의 동적 테스트를 자동으로 실행할 수 있습니다. 모든 개발 단계에서 원하는 간격으로 테스트를 자동으로 실행하도록 예약할 수 있습니다
효과적인 API 보안 전략을 위해서는 기업 전반의 모든 API에 대한 포괄적이고 지속적으로 업데이트되는 인벤토리를 유지하는 것이 중요합니다. API 공격과 관련된 리스크의 심각성 때문에 온디맨드 또는 일일 검색만으로는 충분하지 않습니다. 또한 보안, 개발, 운영의 주요 팀원들이 API가 어떻게 사용되거나 오용되는지 이해하기 위해서는 실제 API 행동(API 호출)을 시각화하는 것이 필요합니다. 이를 통해 기업 내 팀 사이 소통과 조사가 용이해집니다.

API Security는 다양한 기술과 인프라 전반에서 API를 자동으로 지속적으로 검색할 수 있는 기능을 제공합니다. 또한 새로 배포된 API를 식별하고 해당 속성을 기존 문서와 비교합니다. API Security는 자주 놓치는 섀도 API와 OWASP 10대 API 보안 리스크과 같이 알려진 API 취약점을 탐지합니다.

API 검색은 지속적인 프로세스이며, 지속적인 모니터링을 통해 24시간 내내 새로운 API와 기존 API의 변경 사항을 찾아냅니다. 보안 팀은 깊이 있는 정보를 얻고 개발자가 새로운 API나 서비스를 배포할 때 가장 먼저 알 수 있습니다.
API는 기업이 출시하는 모든 디지털 제품과 서비스의 원동력입니다. 따라서 API의 범위와 규모가 커지고 있는 것은 놀라운 일이 아닙니다. 그러나 이러한 확산은 공격표면을 재설정하는 API의 확산으로 이어집니다.

오늘날의 공격자들은 소프트웨어 버그나 설정 오류를 포함한 API 취약점을 찾아 다음과 같은 목적에 악용합니다.

민감한 애플리케이션 기능에 대한 접속 권한 확보

민감한 데이터 검색, 손상 또는 탈취

악의적인 방법으로 API 오용

OWASP 상위 10대 API 보안 리스크 는 기업이 식별하고 해결해야 하는 가장 일반적으로 악용되는 API 취약점과 위협에 관한 유용한 요약 정보를 제공합니다.

API 보안을 사용하면 보안, 개발자 및 API 팀에 잠재적 리스크, 설정 오류 및 취약점을 즉시 알림으로써 취약하고 잘못 설정된 API로 인해 기업이 API 공격에 노출되는 것을 방지할 수 있습니다. 또한 파트너가 API를 잘못 설정했는지 또는 코드에 취약점이 있는지 쉽게 확인할 수 있습니다.

맥락 및 조건부 알림은 Jira 티켓을 자동으로 만드는 등 기존 워크플로우 내에서 원활하게 작동하므로 문제를 신속하게 해결할 수 있습니다.
API는 프로그래밍 방식으로 사용하도록 설계되었기 때문에 정상적인 사용과 공격 및 악용을 구분하기가 매우 어렵습니다.

API 공격 방법은 다양하지만, 가장 일반적인 접근 방식은 다음과 같습니다.

비즈니스 로직 악용. 비즈니스 로직 공격은 애플리케이션 설계 또는 구축의 결함을 악용해 공격자에게 이익이 되는 예상치 못한 비승인 동작을 유발합니다.

무단 데이터 접속. 이 일반적인 공격 방법은 제한된 데이터에 접속하기 위해 손상된 인증 및 권한 확인 메커니즘을 악용합니다.

계정 탈취. 계정 탈취는 인증정보 도용 또는 크로스 사이트 스크립팅 공격을 통해 정상 사용자인 것처럼 가장함으로써 API를 악용합니다.

데이터 스크레이핑. 공격자는 공개적으로 이용 가능한 리소스를 공격적으로 쿼리해 대규모의 가치 있는 데이터 세트를 대량으로 수집할 수 있습니다.

비즈니스 서비스 거부(DoS). 제한되지 않은 API 호출은 애플리케이션 레이어에서 '서비스 침식' 또는 완전한 서비스 거부를 유발할 수 있습니다.

이러한 리스크와 그 밖의 잠재적인 API 보안 리스크를 탐지하고 예방하기 위해서는 광범위한 애플리케이션 보안 전략의 일환으로 전용 API 보안 솔루션에서 제공되는 최신 제어 기능을 사용해야 합니다.