지능화된 API 보안 권장사항

이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.

Apigee Edge 문서 보기

이 페이지에서는 지능화된 API 보안 작업을 위한 몇 가지 권장사항에 대해 설명합니다.

클라이언트 IP 확인 구성

기본 클라이언트 IP 확인 알고리즘이 사용 사례에 적합하지 않은 경우 환경별로 맞춤설정할 수 있습니다. 클라이언트 IP 확인을 참조하세요. 이 설정을 구성하면 지능화된 API 보안에서 각 API 요청에 적절한 클라이언트 IP 주소를 찾아 사용하고 환경 전반에서 일관된 클라이언트 IP 주소 확인을 보장할 수 있습니다.

클라이언트 IP 확인을 사용하려면 X-Forwarded-For 요청 헤더를 보존해야 합니다.

X-Forwarded-For 요청 헤더 보존

X-Forwarded-For(XFF) 요청 헤더는 프록시 서버를 통해 웹 서버에 연결하는 클라이언트의 발신 IP 주소를 식별하기 위한 표준 헤더입니다. 많은 플랫폼은 보안상의 이유로 수신 요청에서 XFF 헤더를 제거하는 기능을 제공합니다. 하지만 지능화된 API 보안을 사용하는 경우 머신러닝 알고리즘에서 악용 트래픽을 식별하고 보안 점수를 계산하기 위해 IP 주소 정보가 필요하므로 권장하지 않습니다.

플랫폼에서 XFF 헤더가 제거되는지 확인하는 방법

플랫폼에서 XFF 헤더가 제거되는지 확인하려면 다음과 같이 API를 호출합니다.

curl https://apigee.googleapis.com/v1/organizations/ORG/environments/ENV/stats/x_forwarded_for_ip?select=avg\(total_response_time\)&timeRange=9/24/2018%2000:00~10/25/2018%2000:00&timeUnit=day \
 -H "Authorization: Bearer $TOKEN"

여기서 ORG는 조직이고 ENV는 조직의 환경입니다.

플랫폼에서 XFF 헤더를 제거하는 경우 첫 번째 줄이 될 응답을 반환합니다.

 "name": "(not set)",

응답의 (not set)은 플랫폼에서 XFF 헤더를 제거한다는 것을 의미합니다.