질문: 증가하는 API 기반 공격에 직면하여 조직에서 API가 손상되지 않도록 하려면 어떻게 해야 합니까?
Gravitee의 창립자이자 CEO인 Rory Blundell은 다음과 같이 말했습니다. 규모와 업종에 관계없이 모든 기업은 정기적으로 내부 API를 사용하여 LOB(기간 업무) 앱을 통합하고 외부 API를 사용하여 공급업체, 고객 또는 파트너와 데이터 또는 서비스를 공유합니다. 단일 API가 여러 애플리케이션 또는 서비스에 액세스할 수 있기 때문에 API를 손상시키는 것은 최소한의 노력으로 광범위한 비즈니스 자산을 손상시키는 쉬운 방법입니다.
API는 인기 있는 공격 벡터가 되었으며 API 공격 빈도는 놀라울 정도로 증가했습니다. 681%, 최근에 따르면 Salt Labs의 연구. API 보안의 첫 번째 단계는 OWASP와 같은 모범 사례를 따르는 것입니다. 일반적인 API 보안 위험으로부터 보호할 것을 권장합니다..
그러나 기본 API 보안 관행으로는 IT 리소스를 안전하게 유지하기에 충분하지 않습니다. 기업은 API를 보호하기 위해 다음과 같은 추가 조치를 취해야 합니다.
1. 위험 기반 인증 채택
기업은 위험이 높아진 경우 보안 보호를 강화할 수 있는 위험 기반 인증 정책을 채택해야 합니다. 예를 들어 예측 가능한 패턴을 따르는 적법한 요청을 발행한 오랜 기록이 있는 API 클라이언트는 이전에 연결한 적이 없는 새 클라이언트와 동일한 수준의 인증을 각 요청에 거칠 필요가 없을 수 있습니다. 그러나 오랜 API 클라이언트의 액세스 패턴이 변경되면(예를 들어 클라이언트가 갑자기 다른 IP 주소에서 요청을 발행하기 시작하는 경우) 더 엄격한 인증을 요구하는 것이 손상된 클라이언트에서 요청이 오지 않도록 하는 현명한 방법이 될 것입니다.
2. 생체인증 추가
토큰은 클라이언트와 요청을 인증하는 기본 수단으로 여전히 중요하지만 도난당할 수 있다. 이러한 이유로 토큰 기반 인증과 생체 인증을 결합하는 것이 API 보안을 강화하는 현명한 방법입니다. 개발자는 API 토큰을 소유한 모든 사람이 유효한 사용자라고 가정하는 대신 적어도 고위험 상황에서는 사용자가 지문, 얼굴 스캔 또는 유사한 방법을 사용하여 인증해야 하도록 애플리케이션을 설계해야 합니다.
3. 외부 인증 시행
API 인증 체계가 복잡할수록 애플리케이션 자체 내에서 보안 요구 사항을 적용하기가 더 어려워집니다. 이러한 이유로 개발자는 애플리케이션 논리에서 API 보안 규칙을 분리하고 대신 API 게이트웨이와 같은 외부 도구를 사용하여 보안 요구 사항을 시행해야 합니다. 이 접근 방식은 API 보안 정책을 애플리케이션 소스 코드를 통하지 않고 API 게이트웨이 내에서 쉽게 구현하고 업데이트할 수 있기 때문에 API 보안 정책을 보다 확장 가능하고 유연하게 만듭니다. 그리고 가장 중요한 것은 다양한 위험 프로필을 기반으로 다양한 사용자 또는 요청에 다양한 규칙을 적용할 수 있다는 것입니다.
4. 사용성과 API 보안의 균형 유지
보안이 유용성의 적이 되지 않도록 하는 것이 중요합니다. API 인증 조치를 너무 방해하거나 부담스럽게 만들면 사용자가 API를 포기할 수 있으며 이는 원하는 것과 반대입니다. 이유가 있을 때 API 보안 규칙을 엄격하게 유지하되 불필요한 요구 사항을 부과하지 않도록 하여 이를 방지합니다.
API를 대상으로 하는 공격은 느려질 기미가 보이지 않습니다. API를 설계하고 보호할 때 개발자는 OWASP 권장 사항을 넘어 API를 악용하기 어렵게 만들어야 합니다.
