API 보안이란 무엇인가요?
개요
API(애플리케이션 프로그래밍 인터페이스)는 디지털 혁신 전략의 핵심 부분이며, 이러한 API를 보호하는 것이 가장 큰 과제입니다. API는 빠르게 성장하는 공격 표면이지만 널리 이해되지 않아 개발자와 애플리케이션 보안 관리자가 간과할 수 있습니다.
API 보안
OWASP API 보안 프로젝트에서 가져온 것입니다: "API는 최신 모바일, SaaS 및 웹 애플리케이션의 중요한 부분이며 고객 대면, 파트너 대면 및 내부 애플리케이션에서 찾을 수 있습니다. API는 본질적으로 애플리케이션 로직과 개인 식별 정보(PII)와 같은 민감한 데이터를 노출하기 때문에 점점 더 공격자의 표적이 되고 있습니다. 안전한 API가 없다면 빠른 혁신은 불가능할 것입니다."
API 기반 앱은 어떻게 다른가요?
다시 한 번 OWASP의 말을 인용합니다:
- 서버는 데이터의 프록시로 더 많이 사용됩니다.
- 렌더링 컴포넌트는 서버가 아닌 클라이언트입니다.
- 클라이언트는 로데이터를 소비합니다.
- API는 앱의 기본 구현을 노출합니다.
- 사용자의 상태는 일반적으로 클라이언트가 유지 관리하고 모니터링합니다.
- 각 HTTP 요청에는 더 많은 매개변수(개체 ID, 필터)가 전송됩니다.
API 보안은 일반 애플리케이션 보안과 어떻게 다른가요?
API 보안은 API의 고유한 보안 위험을 완화하기 위한 전략에 중점을 둡니다. 기존의 취약점은 API 기반 앱에서 덜 일반적입니다:
- SQLi - ORM 사용 증가.
- CSRF - 쿠키 대신 인증 헤더를 사용합니다.
- 경로 조작 - 클라우드 기반 스토리지.
- 대표적인 IT 보안 문제 - SaaS.
API 보안이 중요한 이유는 무엇인가요?
API 보안이 중요한 이유는 기업에서 서비스를 연결하고 데이터를 전송하는 데 API를 사용하기 때문에 API가 해킹되면 데이터 유출로 이어질 수 있기 때문입니다.
API 사용량이 계속 증가하고 있습니다.
2021년 12월, Cloudflare는 API 호출이 전체 요청의 54%를 차지했으며 2021년 2월부터 12월까지 21% 증가했다고 보고했습니다. 공격자들은 이에 주목하고 API에 대한 집중도를 높였습니다.
API 보안 테스트는 애플리케이션 보안 테스트를 위한 Gartner MQ의 핵심 기능 중 일부입니다.
API는 최신 애플리케이션(예: 단일 페이지 또는 모바일 애플리케이션)에서 필수적인 부분이 되었지만 기존의 AST 도구 세트는 이를 완벽하게 테스트하지 못할 수 있으므로 전문화된 도구와 기능이 필요합니다. 개발 환경과 프로덕션 환경 모두에서 API를 검색하고 API 소스 코드를 테스트하는 기능과 기록된 트래픽 또는 API 정의를 수집하여 실행 중인 API의 테스트를 지원하는 기능이 대표적인 기능입니다.
OWASP API 보안 톱 10은 무엇인가요?
OWASP는 최근 API 보안 상위 10개 릴리스 후보를 발표했습니다. OWASP API 보안 프로젝트에 대해 자세히 알아보세요. 다음은 상위 10위입니다:
- API1 - 깨진 객체 수준 권한 부여
- API2- 깨진 사용자 인증
- API3 - 과도한 데이터 노출
- API4 - 리소스 부족 및 속도 제한
- API5 - 깨진 함수 수준 권한 부여
- API6 - 대량 할당
- API7 - 보안 구성 오류
- API8 - 주입
- API9 - 부적절한 자산 관리
- API10 - 불충분한 로깅 및 모니터링
Fortify API 보안에 도움
- 공격 표면 범위 - 테스트 중에 새 엔드포인트와 섀도 API 엔드포인트를 자동으로 발견하고 OpenAPI, Swagger, Odata 또는 WSDL 스키마를 사용하여 광범위한 엔드포인트를 식별합니다.
- API 인증 - API 인증은 다양하고 복잡합니다. Fortify 은 거의 모든 유형의 무기명 토큰과 구현을 지원합니다.
- 취약점 탐지 - 무기명 토큰 또는 GraphQL 인트로스펙션과 같은 영역에 영향을 미치는 API별 취약점에 대한 적용 범위를 계속 확장하고 있습니다.
- 스캔 자동화 - SaaS, 호스팅 또는 온프레미스를 통해 제공되는 엔터프라이즈급 오케스트레이션으로 API 테스트를 확장할 수 있습니다.
