Apigee 및 Google Cloud Armor를 사용한 멀티 레이어 API 보안

 * 본 아티클의 원문은 2021년 3월 16일 Google Cloud 블로그(영문)에 게재되었습니다.   

정보 보안이 연일 헤드라인 뉴스에 오르고 있습니다. 크고 작은 스킴에 사용되는 악성 봇부터 대기업과 그 고객을 대상으로 하며 궁극적으로는 수많은 정부, 조직, 개인에게 영향을 미치는 전면적인 '소프트웨어 공급망 공격'에 이르는 다양한 보안 위험에 대해 아마 들어보았을 것입니다. 

기업이 온라인 채널을 통해 고객에게 서비스를 제공하고, 전 세계 원격 근무 인력으로 어디서나 운영될 수 있도록 디지털 프로그램을 확장함에 따라, 이러한 보안 공격은 점점 더 보편화될 것이라 예상됩니다. 애플리케이션 프로그래밍 인터페이스(API)는 기업 디지털 프로그램의 기반이 되는 구성요소로, 다양한 앱과 서비스를 지원하는 데이터와 기능을 연결하므로 악성 공격의 벡터인 동시에 기업이 공격 패턴을 파악하고 이를 차단하는 데 사용할 수 있는 유용한 정보원이기도 합니다. Google Cloud의 2021년 API 경제 현황 보고서에 따르면 악의적인 트래픽이 172% 증가하고 기업의 이상 감지, 봇 보호, 보안 분석 기능 사용량이 230% 늘어났습니다. 

비즈니스 수행 시 민첩하고 스마트하며 사전 예방적인 디지털 보안 메커니즘이 필요해짐에 따라, API 보안은 기업 IT 보안 포트폴리오의 필수적인 부분이 되었습니다. 이 문서에서 설명하는 것처럼 Google Cloud의 Apigee X 최신 출시 버전은 API 보안을 훨씬 더 강력하게 만들어 줍니다. 

Apigee 및 Google Cloud Armor를 사용한 멀티 레이어 API 보안

API는 다양한 디지털 애셋으로 들어가는 문이며 모든 문에는 그 뒤에 있는 것을 안전하게 지켜주고 무단 액세스로부터 보호해 줄 자물쇠가 필요합니다. 따라서 조직이 API를 최고 수준으로 보호할 수 있도록 Google Cloud는 Apigee와 Cloud Armor를 결합하여 업계 선두의 API 관리 및 웹 애플리케이션 방화벽 기술을 함께 제공합니다. Google Cloud의 전체 수명 주기 API 관리 플랫폼의 최신 출시 버전인 Apigee X를 통해 고객은 Cloud Armor 웹 애플리케이션 방화벽(WAF)을 API에 쉽고 편리하게 적용하여 보안을 한층 더 강화함으로써 승인된 사용자만 회사 디지털 애셋에 액세스하도록 할 수 있습니다. 

날씨 데이터 및 예측의 글로벌 선두주자인 AccuWeather 같은 회사의 경우, 외부 개발자를 위한 새로운 애플리케이션을 구축하고 데이터와 기능으로 수익을 창출하여 이들 커뮤니티 역시 AccuWeather 애셋으로 혁신을 이끌어낼 수 있도록 하기 위해 API가 필수적이었습니다. AccuWeather는 API에서 이처럼 새로 확장된 노출 영역이 생김에 따라 디지털 애셋을 관리하고 보호하기 위해 강력한 보안이 필요했습니다.

AccuWeather의 최고 기술 책임자인 크리스 패티는 “지난 10년간 AccuWeather는 API를 사용하여 비즈니스 고객에게 가장 정확하고 유용한 날씨 정보를 제공하기 위해 디지털 솔루션으로의 혁신을 계속해 왔습니다. Apigee의 전략적 파트너십과 포괄적인 API 관리 플랫폼 덕분에 업계 선두의 API를 단 몇 주 만에 설계하고, 개발하고, 출시할 수 있었습니다.”라고 말했습니다. “현재는 하루에 500억 건 이상의 API 호출을 처리합니다. 많은 조직에서 자체 디지털 솔루션을 도입함에 따라, 혁신을 가속화하기 위해 API 우선 전략을 도입하는 회사가 점점 많아지고 있습니다. Apigee X 신규 출시 버전을 사용하면 reCaptcha, Cloud Armor, 콘텐츠 전송 네트워크(CDN) 같은 최고의 Google 기능으로 API 프로그램을 확장하여 글로벌 확장, 성능, 보안을 제공할 수 있을 것으로 보입니다.” 

Apigee와 Cloud Armor를 모두 사용하면 여러 수준에서 API를 보호할 수 있습니다.

Apigee X에는 OAuth(Open Authorization), API 키, 역할 기반 액세스 권한, 기타 여러 API 수준 보안 기능이 포함되어 있고, Cloud Armor는 DDoS(Distributed Denial of Service) 방지, 지오펜싱, OWASP(Open Web Application Security Project) 상위 10개 위험 완화, 커스텀 Layer-7 필터링 같은 네트워크 및 애플리케이션 보안을 제공합니다. 개발자는 Apigee X와 Cloud Armor를 통해 즉시 사용 가능한 통합 보안 기능으로 여러 수준에서 API를 보호할 수 있습니다.

고객은 또한 Cloud Identity and Access Management(IAM)를 손쉽게 활용하여 Apigee 플랫폼에 대한 액세스를 인증 및 승인하고 고객 관리 암호화 키(CMEK)를 사용하여 암호화된 데이터를 더 세부적으로 제어할 수 있습니다. 

Apigee X와 Cloud Armor는 애플리케이션 및 API에 위협 및 사기에 대한 강력한 방지 기능을 제공합니다.  또한 이러한 제품은 reCAPTCHA Enterprise의 안티봇 및 악용 방지 조치를 추가하는 WebApp and API Protection(WAAP) 솔루션의 일부로 제공됩니다.

공격자와 새로운 취약점은 끊임없이 발생하기 때문에 보안은 움직이는 과녁처럼 맞추기 어렵지만 API 보안에 멀티 레이어 접근법을 사용하면 기업은 보안을 침해하지 않으면서 새로운 디지털 서비스와 환경에 API를 빠르게 활용할 수 있다는 점에 안심할 수 있습니다.  Apigee X에 대해 자세히 알아보고 Apigee와 Cloud Armor의 작동 모습을 보려면 이 동영상을 확인하세요.