이 페이지는 Cloud Translation API를 통해 번역되었습니다.

보안 작업 개요 및 UI

이 페이지는 Apigee 및 Apigee Hybrid에 적용됩니다.

지능화된 API 보안 보안 작업을 사용하면 Apigee에서 트래픽을 처리하는 방법을 정의하는 보안 작업을 구성할 수 있습니다. 예를 들어 악용 감지에서 악용으로 식별한 IP 주소의 요청을 거부하고 API에 액세스하지 못하도록 차단하는 보안 작업을 만들 수 있습니다.

이 기능을 사용하려면 부가기능을 사용 설정해야 합니다. 구독 고객인 경우 조직에 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 구독 조직에 대한 지능화된 API 보안 관리를 참조하세요. 사용한 만큼만 지불하는 고객은 적격 환경에서 부가기능을 사용 설정할 수 있습니다. 자세한 내용은 지능화된 API 보안 부가기능 관리를 참조하세요.

이 페이지에서는 보안 작업 기능과 Cloud 콘솔의 Apigee UI에서 이 기능을 사용하는 방법을 간략하게 설명합니다. 보안 작업 API를 사용하거나 Terraform을 통해 보안 작업을 관리할 수도 있습니다.

보안 작업 수행에 필요한 역할은 보안 작업에 필요한 역할을 참조하세요.

보안 작업 작동 방식

보안 작업을 사용하면 특정 조건을 기반으로 요청을 명시적으로 허용, 거부 또는 플래그 지정할 수 있습니다. Apigee는 API 프록시에서 요청을 처리하기 전에 요청에 이러한 작업을 적용합니다. 일반적으로 요청이 원치 않는 동작의 패턴을 따르거나 (허용 작업의 경우) 사용자가 특정 트래픽에 대한 거부 작업보다 우선하려 하므로 조치를 취하게 됩니다.

플래그 작업을 사용하면 요청이 API에 전달될 수 있지만 플래그된 요청에 최대 5개의 헤더를 추가하므로 해당 요청을 추적하여 동작을 관찰할 수 있습니다.

조치를 취할 요청을 식별하는 한 가지 방법은 악용 소스인 IP 주소와 API 키를 표시하는 악용 감지 감지된 트래픽 또는 사고 뷰를 사용하는 것입니다.

보안 작업

다음과 같은 유형의 보안 작업을 수행할 수 있습니다.

작업 유형	설명	우선 적용 순서
허용	특정 요청을 허용합니다. 그렇지 않으면 거부 작업에 의해 차단됩니다. 예를 들어 감지 규칙 태그가 지정된 트래픽을 거부하는 보안 작업을 만들었다고 가정해 보겠습니다. 특정 조건이 있는 요청에 대해 허용 작업이 거부 작업보다 우선하도록 만들 수 있습니다.	1
거부	지정된 IP 주소에서 시작되는 경우와 같이 작업 조건을 충족하는 모든 요청을 차단합니다. 요청을 거부하면 Apigee는 클라이언트에 대해 선택 가능한 응답 코드로 응답합니다.	2
플래그	백엔드 서비스가 조치를 취할 수 있도록 지정된 조건을 충족하는 요청을 신고합니다. 클라이언트 요청을 신고하면 Apigee는 사용자가 정의한 최대 5개의 헤더를 요청에 추가합니다. 백엔드 서비스는 호출을 다른 흐름으로 리디렉션하는 등 이러한 플래그를 따라 API 호출을 처리할 수 있습니다. 플래그 작업은 API 호출이 의심스러운 경우 백엔드 서비스에 신호를 보내는 방법을 제공합니다.	3

우선 적용 순서

요청이 2개 이상의 보안 작업 조건을 충족하는 경우, 작업의 우선순위에 따라 수행하는 작업이 결정됩니다. 예를 들어 요청이 허용 및 거부 작업 조건을 모두 충족한다고 가정해 보겠습니다. 허용 작업의 우선순위는 1이고 거부 작업의 우선순위는 2이므로 허용 작업이 우선 적용되어 API에 대한 액세스 요청이 허용됩니다.

예를 들어 해당 요청이 별도의 거부 작업과 일치하더라도 내부 또는 신뢰할 수 있는 클라이언트의 IP 주소로부터의 요청을 허용할 수 있습니다. 우선순위 순서는 신뢰할 수 있는 IP 주소에 대한 허용 작업이 거부 작업보다 우선하도록 합니다.

프록시별 보안 작업

보안 작업은 환경의 모든 프록시 또는 환경 내 특정 프록시에만 적용할 수 있습니다. 프록시별 보안 작업에 대한 제한사항은 보안 작업에 대한 제한사항을 참조하세요.

보안 작업 상태

각 보안 작업에는 상태가 있습니다.

사용 설정됨: 보안 작업이 활성 상태이며 만료되지 않는 한 API 요청에 영향을 미칩니다.
사용 중지됨: 보안 작업이 비활성 상태이며 API 요청에 영향을 미치지 않습니다.
일시중지됨: 보안 작업이 비활성 상태이며 API 요청에 영향을 미치지 않습니다.

보안 작업에 대한 제한사항

보안 작업은 Apigee 환경 수준에서 적용됩니다. 환경마다 보안 작업에 다음과 같은 제한사항이 있습니다.

언제든지 환경에 대해 최대 1,000개의 사용 설정된 작업이 허용됩니다. 만료된 작업도 사용 설정된 경우 이 한도에 포함됩니다.
각 작업에 대해 플래그 헤더를 최대 5개까지 추가할 수 있습니다.
프록시별 보안 작업은 최대 100개의 프록시를 지원합니다.
현재 Apigee Hybrid에서는 프록시별 보안 작업이 지원되지 않습니다.
이름이 동일한 보안 작업은 여러 개 지원되지 않습니다. 빠르게 연속으로 여러 작업을 만들어 이름이 같은 작업을 여러 개 만들 수는 있습니다. 이 경우 해당 이름의 가장 최근 작업만 적용됩니다.

지연 시간

보안 작업의 지연 시간은 다음과 같습니다.

보안 작업을 만들거나 수정하거나 삭제할 때 변경사항이 적용되기까지 최대 10분이 걸릴 수 있습니다. 새 작업이 적용되고 또한 일부 API 트래픽에 적용된 후에는 보안 작업 세부정보 페이지에서 작업의 효과를 확인할 수 있습니다. 참고: 일부 API 트래픽에 작업이 적용되지 않으면 보안 작업 세부정보 페이지에서 작업이 적용되었는지 확인할 수 없습니다.
사용 설정된 보안 작업으로 API 프록시 응답 시간이 (2% 미만으로) 약간 증가합니다.

UI에서 보안 작업 관리

이 섹션에서는 Cloud 콘솔의 Apigee UI에서 보안 작업 페이지를 사용하는 방법을 설명합니다. 보안 작업 API를 사용하여 보안 작업을 관리할 수도 있습니다.

보안 작업 페이지 열기

보안 작업 페이지를 열려면 다음 안내를 따르세요.

Google Cloud 콘솔에서 지능화된 API 보안 > 보안 작업 페이지로 이동합니다.

보안 작업으로 이동

이렇게 하면 기본 보안 작업 페이지가 열립니다.

보안 작업 페이지에서 다음을 수행할 수 있습니다.

새 보안 작업을 만듭니다.
기존 보안 작업 수정
보안 작업 사용 설정 또는 사용 중지
사용 설정된 모든 또는 일부 보안 작업 일시중지
보안 작업 삭제

보안 작업 페이지에는 다음 세부정보를 포함한 보안 작업 목록이 표시됩니다.

이름: 보안 작업의 이름입니다. 이름을 클릭하여 작업의 세부정보를 확인합니다.
상태: 작업의 상태입니다. 보안 작업 상태를 참고하세요.
작업: 보안 작업 유형입니다.
만료(UTC): 작업의 만료일.
최종 업데이트(UTC): 작업이 마지막으로 업데이트된 날짜 및 시간.
작업을 수정, 사용 중지, 사용 설정 또는 삭제할 수 있는 점 3개로 된 메뉴

보안 작업 만들기 또는 수정

이 섹션에서는 보안 작업을 만들거나 수정하는 방법을 설명합니다. 보안 작업을 만든 후에는 보안 작업 이름이나 환경을 변경할 수 없습니다.

보안 작업을 만들거나 수정하려면 다음 단계를 따르세요.

보안 작업 페이지 열기
새 보안 작업을 만들려면 페이지 상단의 만들기를 클릭합니다. 기존 보안 작업을 수정하려면 작업 목록에서 해당 작업의 점 3개로 된 메뉴에서 수정을 클릭하거나 작업을 선택하고 페이지 상단에서 수정을 선택합니다.
일반 설정에서 다음 설정을 입력하거나 수정합니다.
- 이름: 보안 작업의 이름입니다.
- 설명(선택사항): 작업에 대한 간단한 설명입니다.
- 환경: 보안 작업을 만들 환경입니다.
- 프록시(선택사항): 보안 작업을 적용할 프록시입니다. 필터 필드를 사용하여 이름별로 프록시 목록을 제한합니다.
  - 환경의 현재 및 향후 모든 프록시에 보안 작업을 적용하려면 프록시 필드를 비워 둡니다.
  - 개별 프록시를 선택하여 나중에 환경에 추가된 새 프록시와 관계없이 해당 프록시에만 보안 작업을 적용합니다.
  - 모두 선택을 사용하여 환경의 모든 현재 프록시를 선택합니 나중에 추가된 프록시는 규칙에 자동으로 포함되지 않습니다.
- 만료: 작업이 만료되는 날짜 및 시간입니다. 만료되지 않음 또는 커스텀을 선택한 다음 원하는 작업 만료 날짜와 시간을 입력합니다. 시간대를 수정할 수도 있습니다.
다음을 클릭하여 규칙 섹션을 표시합니다. 이 섹션에서 다음을 입력하거나 수정합니다.
- 작업 유형: 보안 작업의 유형입니다.
  - 허용: 요청이 허용됩니다.
  - 거부: 요청이 거부됩니다. 거부를 선택하면 요청이 거부될 때 반환되는 응답 코드를 지정할 수도 있습니다. 다음 중 하나일 수 있습니다.
    - 사전 정의됨: HTTP 코드를 선택합니다.
    - 커스텀: 응답 코드를 입력합니다.
  - 플래그: 요청이 허용되지만 요청에 특수 처리가 필요한지 여부를 결정하기 위해 프록시가 찾는 특수 HTTP 헤더로 플래그가 지정됩니다. 헤더를 정의하기 위해 헤더 아래에서 플래그를 선택하면 헤더 아래에서 다음을 생성할 수도 있습니다.
    - 헤더 이름
    - 헤더 값
- 조건: 보안 작업이 수행되는 조건입니다. 새 조건에 다음을 입력합니다.
  - 조건 유형: 감지 규칙 또는 다음 속성 중 하나일 수 있습니다.
    - IP 주소/CIDR 범위: IP 주소와 IPv4 CIDR 범위를 동시에 포함할 수 있습니다.
    - API 키: 하나 이상의 API 키
    - API 제품: 하나 이상의 Apigee API 제품
    - 액세스 토큰: 하나 이상의 액세스 토큰
    - 개발자: 하나 이상의 Apigee 개발자 이메일 주소
    - 개발자 앱: 하나 이상의 Apigee 개발자 앱
    - 사용자 에이전트: 하나 이상의 사용자 에이전트
    - HTTP 메서드: HTTP 메서드(예: GET 또는 PUT)
    - 리전 코드: 작업을 수행할 리전 코드 목록 ISO 3166-1 alpha-2 코드를 참조하세요.
    - 자율 시스템 번호(ASN): 작업을 실행할 ASN 번호 목록입니다(예: '23'). 자율 시스템(인터넷)을 참조하세요.
    참고:
    - 감지 규칙 및 IP 주소/CIDR 범위 조건 유형의 경우 이러한 유형을 갖는 조건을 최대 2개까지 만들 수 있습니다. 다른 조건 유형의 경우 최대 1개의 조건을 만들 수 있습니다.
    - API 키, API 제품, 액세스 토큰, 개발자 또는 개발자 앱 조건을 사용하려면 API 키 확인 정책 또는 OAuthV2 정책도 사용해야 합니다. 자세한 내용은 API 키 작동 방식을 참조하세요.
    - Apigee Hybrid의 경우 버전 1.12 이상에서 API 키, API 제품, 액세스 토큰, 개발자, 개발자 앱, 사용자 에이전트와 같은 조건을 사용할 수 있습니다. 버전 1.13 이상에서는 자율 시스템 번호, CIDR 범위, HTTP 메서드, 리전 코드와 같은 조건을 사용할 수 있습니다.
  - 값: 다음 중 하나를 입력합니다.
    - 조건 유형이 감지 규칙인 경우 보안 작업을 적용하기 위해 요청이 트리거되어야 하는 감지 규칙 집합을 선택합니다.
    - 조건 유형이 속성인 경우 보안 작업을 적용할 속성의 값을 입력합니다. 예를 들어 속성이 IP 주소/CIDR 범위인 경우 보안 작업을 적용할 요청 소스의 IP 주소를 입력합니다. IPv4 및 IPv6 주소의 쉼표로 구분된 목록을 입력할 수 있습니다.
만들기를 클릭하여 보안 작업을 만듭니다.

보안 작업 사용 설정, 사용 중지, 일시중지 또는 삭제

이 섹션에서는 보안 작업 페이지에서 보안 작업의 상태를 변경하는 방법을 설명합니다. 각 상태 유형과 API 요청에 대한 작업에 미치는 영향에 관한 자세한 내용은 보안 작업 상태를 참고하세요.

상태를 변경하기 위해 취할 수 있는 조치는 다음과 같습니다.

활성 보안 작업을 사용 중지하려면 작업 행에서 점 3개로 된 메뉴를 클릭하고 사용 중지를 선택하거나 보안 작업 이름을 클릭하고 페이지 상단에서 사용 중지를 클릭합니다.
보안 작업을 사용 설정하려면 작업 행에서 점 3개로 된 메뉴를 클릭하고 사용 설정을 선택하거나 보안 작업 이름을 클릭하고 페이지 상단에서 사용 설정을 클릭합니다.
활성 보안 작업을 모두 일시중지하여 일시적으로 비활성화하려면 페이지 상단의 보안 작업 목록에서 사용 설정된 작업 일시중지를 클릭합니다. 일시중지된 모든 작업을 재개하려면 페이지 상단에서 일시중지된 작업 재개를 클릭합니다.
참고: 사용 설정된 작업을 모두 재개하면 사용 중지된 모든 작업이 사용 중지된 상태로 유지됩니다.

보안 작업을 삭제할 수도 있습니다. 삭제하면 구성에서 영구적으로 삭제됩니다. 보안 작업을 삭제하려면 작업 행에서 점 3개로 된 메뉴를 클릭하고 삭제를 선택하거나 보안 작업 이름을 클릭하고 페이지 상단의 삭제를 클릭합니다.

보안 작업 세부정보 보기

보안 작업과 관련된 최근 API 트래픽 데이터를 보려면 기본 보안 작업 페이지에서 보안 작업 이름을 클릭합니다. 그러면 개요 및 속성의 두 탭이 있는 보안 작업 세부정보 페이지가 표시됩니다.

개요

개요 탭을 선택하여 개요 페이지를 표시합니다.

개요 페이지에는 페이지 상단에서 선택한 기간(12시간, 1일, 1주, 2주) 동안의 최근 API 트래픽에 대한 정보가 표시됩니다.

페이지에는 다음 트래픽 데이터가 표시됩니다.

작업 유형: 거부, 허용 또는 플래그입니다. 작업 유형에 관한 자세한 내용은 보안 작업을 참조하세요.
총 환경 트래픽: 환경의 총 요청 수입니다.
감지된 총 이벤트 트래픽: 환경에서 '감지된'(악용 규칙을 트리거함) 요청 수입니다.
작업의 영향을 받은 총 트래픽:
- 거부 작업의 경우 거부된 요청 수입니다.
- 플래그 작업의 경우 신고된 요청 수입니다.
- 허용 작업의 경우 허용되는 요청 수입니다.

또한 이 페이지에는 다음 그래프가 표시됩니다.

환경 트래픽 추세: 감지된 트래픽, 플래그된 트래픽, 총 환경 트래픽의 그래프입니다. 이 그래프는 관찰된 모든 트래픽을 포함하는 최근 시간 간격으로 제한됩니다. 이 간격은 선택한 간격보다 짧을 수 있습니다.
상위 규칙
상위 국가
작업 세부정보

속성

속성 탭을 선택하여 속성 페이지를 표시합니다.

속성 페이지에는 다양한 방식으로 보안 작업을 볼 수 있는 데이터 그룹인 속성(측정기준이라고도 함)을 기준으로 보안 작업에 대한 데이터가 표시됩니다. 예를 들어 API 제품 속성을 사용하면 API 제품별 보안 작업을 볼 수 있습니다.

속성 페이지에 표시되는 정보는 악용 감지 사고 세부정보 속성의 속성 뷰와 유사합니다.