Akamai는 제로 트러스트 솔루션을 확장하고 랜섬웨어를 차단하기 위해 Guardicore를 인수합니다. 자세히 보기

블로그

Akamai App & API Protector: 간소화를 통해 보안을 극대화하는 솔루션

Written by

Charles Choe

November 04, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.

훌륭한 디지털 경험을 구축하려면 서버리스 에지 컴퓨팅, 마이크로서비스 기반 아키텍처, IaaS 환경, 클라이언트 측 기능, API를 잘 활용해야 합니다. 이러한 최신 개발 사례는 빠르고 고도로 맞춤화된 상시가동형 사용자 경험을 제공하도록 설계되었습니다. 하지만 동시에 새로운 취약점과 리스크를 초래할 수도 있습니다. IT 팀과 보안 팀은 빠른 코드 릴리스와 애플리케이션 및 API의 변화 속도에 더이상 발을 맞추기 힘든 상황에서 비즈니스를 지원하기 위해 고군분투하고 있습니다. 한편, 사이버 범죄자들은 훔친 인증정보를 구입하고 봇넷을 대여해 크리덴셜 스터핑 공격을 빠르고 쉽게 시작할 수 있습니다. 고객과 이야기를 나눈 후, 이러한 문제를 해결하기 위해서는 각기 다른 벤더의 여러 보안 제품을 사용해야 할 수 있다는 점을 알게 되었습니다. 하지만 서로 호환이 잘 되지 않고 사용이 어렵다면 상황별 사이버 인식에 방해가 되고, 비용이 증가하며, 기업 내부의 운영 제약이 발생할 수 있습니다.

기술 솔루션의 융합

여러 제품을 사용하면 비용이 많이 들고 운영이 복잡하며 숙련된 인력이 필요합니다. 이러한 조건을 충족할 수 있는 기업은 거의 없습니다. 웹 앱 비즈니스 로직 공격, API 악용, DDoS 공격 등 위협이 점점 더 진화하는 가운데, 오늘날 글로벌 비즈니스에서 웹 애플리케이션 및 API를 보호하려면 실용적인 종합 솔루션이 필수적입니다. Akamai의 고객 중심 미션은 간편하며 자동화된 강력한 유비쿼터스 애플리케이션 및 API 보안을 통해 가치를 극대화하는 것입니다.

“대규모 분산 플랫폼에서 작업하고 API를 많이 사용하는 경우 보안이 매우 중요합니다. 그래서 Akamai 엣지 보안을 선택했습니다.” — 서비스 업계의 소프트웨어 애널리스트, 출처: Gartner Peer Insights, 2021년 7월 16일

여러 해 동안 많은 글로벌 업계 애널리스트 기업과 고객이 Akamai의 대표적인 애플리케이션 및 API 보안 솔루션을 인정했습니다.Akamai는 이 분야의 리더로서 웹 애플리케이션 방화벽, 봇 차단, API 보안, DDoS 방어 등 Akamai의 핵심 기술을 단일 솔루션으로 통합한 새로운 웹 애플리케이션 및 API 보안(WAAP) 솔루션을 발표하게 되어 매우 기쁩니다.

Akamai App & API Protector를소개합니다.

Akamai의 새로운 적응형 보안 엔진을 기반으로 한App & API Protector는 전체 웹 및 API 자산을 보호하는 최신 접근 방식을 제공합니다.

더 많은 보안 기능을 즉시 사용

App & API Protector는 강력한 보안을 제공하기 위해 설계된 종합적인 기능을 제공합니다. App & API Protector는 ‘충분한’ 보안을 제공하는 솔루션과 달리 가장 정교한 고급 기술을 탑재했다는 사실을 깨닫지 못할 정도로 간편합니다. Akamai 고객 중 92% 이상이 당연하게도 Akamai의 애플리케이션 및 API 보안 제어를 ‘거부 모드’로 사용합니다.

  • 오탐률을 5배 줄여 최대 2배 더 많은 공격을 탐지합니다. 다차원적인 적응형 위협 기반 탐지 기능이 Akamai의 플랫폼 인텔리전스와 각 웹 및 API 요청의 데이터/메타데이터를 결합합니다. 이 데이터는 공격을 정확하게 탐지하고 차단하는 의사 결정 로직과 함께 사용됩니다. 적응형 탐지 기능은 SQLi, XSS, RFI, CMDi, 전반에서 탐지된 공격 건수의 중앙값을 네 배 올렸습니다. 오탐률은 5배 줄고 극대화된 보안을 제공하며 사용자에게는 영향을 주지 않습니다.

  • 자동 검색 및 보안 기능으로 API 리스크의 공격 대상을 줄입니다. 트래픽을 지속적으로 자동 분석하고 엔드포인트, 정의, 특성 등을 포함해 알려진 API, 알려지지 않은 API, 변화하는 API를 검색합니다. 그 다음 간단한 워크플로우를 사용해 API를 DDoS, 인젝션, 크리덴셜 스터핑 공격으로부터 보호합니다. 모든 API 요청에서 포지티브 보안 제어의 적용 여부와 관계없이 악성 코드를 자동으로 검사합니다. Akamai는 Gartner의 2021 Critical Capabilities for Cloud Web Application and API Protection 보고서에서 API 보안 및 DevOps 활용 사례에 있어 경쟁사 중 최고의 자리를 차지했습니다. 

  • 악성 봇을 탐지하고 차단합니다. App & API Protector에 내장된 봇 가시성 및 차단 기능으로 원치 않는 못을 탐지 및 차단합니다. 봇 트래픽이 계속해서 전체 트래픽의 더 큰 비율을 차지함에 따라 Akamai의 봇 탐지가 자동으로 확장되므로 비즈니스가 성장함에 따라 비즈니스를 보호할 수 있습니다. 봇이 디지털 자산에 미치는 영향을 파악하고 필요 시 악성 봇을 차단할 수 있도록 가시성을 확보합니다. 다른 솔루션과 달리, Akamai는 1,500개 이상의 알려진 봇이 포함된 방대한 디렉토리를 갖춘 업계 최고의 봇 기술을 보유하고 있어 봇 정의를 직접 생성하고 봇 공격을 사전에 모니터링하고 방어할 수 있습니다. 

그림 1: App & API Protector에 포함된 봇 가시성 및 차단 기능 그림 1: App & API Protector에 포함된 봇 가시성 및 차단 기능

자동화로 더욱 스마트하고 강력해진 솔루션

제품이 사용하기 어려우면 리스크와 운영 오버헤드를 유발할 수 있습니다. Akamai App & API Protector는 인적 분석이 필요한 부분을 제외한 가능한 한 많은 부분에서 자동화를 적용해 부하를 분산하고 일상 업무를 간소화했습니다. 자동화는 시간이 지나면서 저하되는 일회성 이점이 아닙니다. Akamai가 새로운 혁신을 추진하는 과정에서 계속 발전합니다.

  • 팀의 부하를 줄이기 위한 셀프 튜닝 기능이 있습니다. 실제 공격과 오탐을 포함한 모든 보안 트리거는 머신 러닝을 통해 지속적으로 자동 분석되어 정책별 튜닝 권장 사항을 제공합니다. 새로운 권장 사항이 있을 때 알림을 받을 수 있으며 UI를 통해 한 번의 클릭으로 알림을 받을 수도 있고 API, CLI(명령줄 인터페이스), Terrafform 공급자를 사용해 자동화할 수도 있습니다.

  • Akamai 보안 연구원들이 보호 기능을 자동으로 업데이트합니다. Akamai가 완벽하게 관리하는 적응형 보안 기능을 통해 애플리케이션 및 API 보안에 대한 완벽한 접근 방식을 배포합니다. 330명이 넘는 세계 최고 수준의 Akamai 보안 연구원들은 고급 머신 러닝, 데이터 마이닝 기술을 사용해 백그라운드에서 매일 300 TB가 넘는 공격 데이터를 분석하고 최신 위협에 대응해 보안 기능을 자동으로 업데이트 합니다.

  • 비즈니스와 보조를 맞추는 DevOps과 통합했습니다. CI/CD 자동화 파이프라인의 스크립트, Terraform, Akamai CLI를 사용해 Akamai API와 통합할 수 있습니다. 애플리케이션의 신속한 온보딩을 지원하고, 광범위한 애플리케이션 및 API 포트폴리오 전반에서 일관적인 보안 정책 관리를 생성하고, 하이브리드 및 멀티클라우드 인프라 전반에 걸쳐 적용을 중앙 집중화하며, 최적의 커버리지를 위해 GitOps 워크플로우에서 DevOps와 보안 팀 간의 협업을 개선해 보안이 항상 오늘날의 신속한 개발과 보조를 맞출 수 있도록 지원합니다.

그림 2 - Terraform을 사용해 App & API Protector로 호스트네임을 관리하는 HCL 코드를 보호하는 예 그림 2 - Terraform을 사용해 App & API Protector로 호스트네임을 관리하는 HCL 코드를 보호하는 예

“간단한 게 복잡한 것보다 낫다” - 파이썬의 원칙

기업은 간소함에 대한 개발자들의 원칙에서 교훈을 얻어 WAAP 솔루션이 단순히 강력한 보안을 제공하는 것뿐만 아니라 사용하기 쉬워야 한다는 점을 고려해야 합니다. 더 쉬운 워크플로우는 리스크를 줄이고 상황에 맞는 인사이트를 제공합니다. 따라서 사이버 위협 환경을 더 잘 이해할 수 있습니다. Kona Site Defender와 Web Application Protector를 대체할 App & API Protector는 ‘간소함 우선’의 원칙에 따라 설계되었습니다. 리더들이 더 많은 정보를 갖고 리스크 기반 의사 결정을 내리고 운영 중단 없이 미션 크리티컬 작업을 수행할 수 있도록 돕는 솔루션입니다. 오늘날의 최신 애플리케이션과 API를 위해 특별히 제작된 이 솔루션은 설정 및 자동화 유연성을 자랑하며 이미지 및 비디오 최적화, API 가속, 엣지 컴퓨팅에 대한 무료 티어를 제공해 WAAP 보안 운영을 강화할 뿐만 아니라 개발 속도를 높입니다.

강력하며 자동화된 간편한 솔루션입니다. App & API Protector에 대해 자세히 알아보려면 제품 설명서를 확인하거나 Akamai 담당자에게 문의하시기 바랍니다.

Gartner, Critical Capabilities for Cloud Web Application and API Protection, Watts, Hils, D’Hoinne, Handa, 2021년 9월 20일

Gartner는 연구 보고서에 명시된 공급업체, 제품 또는 서비스를 지지하지 않으며 기술 사용자에게 최고 등급을 받은 공급업체만을 선택하도록 권장하지 않습니다. Gartner 연구 보고서는 Gartner 연구 기관의 의견으로 구성되며 사실의 진술로 해석되어서는 안 됩니다. Gartner는 상품성 또는 특정 목적에 대한 적합성에 대한 일체의 보증을 포함해 본 연구와 관련된 모든 명시적 또는 묵시적 보증에 대해 책임을 지지 않습니다.



Written by

Charles Choe

November 04, 2021

Charles Choe is a Senior Product Marketing Manager at Akamai Technologies. He brings more than fourteen years of product management and technical marketing experience. He writes about market trends, industry challenges, and solutions in the areas of web application, infrastructure, and API security.