Wiz
모든 기사

API 보안이란?

Nicolas Ehrman
10 분 읽기
API 보안 가이드Wiz Code 사용해보기
Main takeaways from API Security:

  • API security involves protecting APIs from internal and external threats through measures like access control, data protection, and monitoring.

  • The OWASP API Security Top 10 outlines key vulnerabilities, including broken authorization, excessive data exposure, and misconfiguration.

  • Different API types require specific security approaches, such as encryption for SOAP, HTTPS for REST, and query limits for GraphQL.

  • Following best practices like API discovery, encryption, input validation, and regular monitoring is essential to secure APIs and prevent breaches.

이 기사의 주요 내용:

  • API 보안에는 액세스 제어, 데이터 보호 및 모니터링과 같은 조치를 통해 내부 및 외부 위협으로부터 API를 보호하는 것이 포함됩니다.

  • OWASP API 보안 Top 10은 권한 부여 실패, 과도한 데이터 노출 및 잘못된 구성을 포함한 주요 취약점을 간략하게 설명합니다.

  • 다양한 API 유형에는 SOAP에 대한 암호화, REST에 대한 HTTPS, GraphQL에 대한 쿼리 제한과 같은 특정 보안 접근 방식이 필요합니다.

  • API 검색, 암호화, 입력 유효성 검사 및 정기 모니터링과 같은 모범 사례를 따르는 것은 API를 보호하고 위반을 방지하는 데 필수적입니다.

API란 무엇인가요?

API(Application Programming Interface)는 서로 다른 소프트웨어와 서비스 간의 통신을 허용하는 소프트웨어 유형입니다.

다음과 같은 네 가지 기본 API 아키텍처가 있습니다.

  • 쉬다 는 클라이언트와 서버가 독립적으로 작동하고 HTTP를 통해 상호 작용하는 균일한 상태 비저장 아키텍처입니다.

  • 비누 는 REST보다 더 복잡하고 더 많은 대역폭을 소비하며 XML 데이터 형식으로만 작동합니다.

  • 증권 시세 표시기또는 원격 프로시저 호출 프로토콜을 사용하면 분산 시스템 내의 원격 서버에서 프로시저를 실행할 수 있습니다.

  • 그래프QL 는 고유한 쿼리 언어를 사용하는 스키마 기반의 강력한 형식의 인프라로, 클라이언트가 단일 요청으로 특정 데이터를 가져올 수 있도록 합니다.

API 보안이란?

응용 프로그래밍 인터페이스는 다양한 위협에 노출되어 있습니다. 일부는 해커의 무단 침입과 같이 외부에서 오는 것이지만 다른 일부는 내부에서 발생하여 시스템을 중단시키거나 API를 공격에 노출시킬 수 있습니다. API 보안은 API를 안전하게 유지하도록 설계된 전략, 도구 세트 및 절차를 나타냅니다.   

웹 API 보안은 다음과 같은 세 가지 중요한 보안 부문에 중점을 둡니다.

  • 애플리케이션 보안

  • 정보 보안

  • 네트워크 보안

API 보안은 액세스 제어, ID 기반 보안, 콘텐츠 검증, 속도 제한, 요청 제한, 모니터링 및 분석, 데이터 보호와 같은 문제를 해결하는 데도 도움이 될 수 있습니다. API가 애플리케이션 또는 네트워크의 진입점 역할을 한다는 점을 감안할 때 API 보안은 잠재적인 위협으로부터 조직을 보호하는 데 가장 중요합니다.

Advanced API Security Best Practices [Cheat Sheet]

Download the Wiz API Security Best Practices Cheat Sheet and fortify your API infrastructure with proven, advanced techniques tailored for secure, high-performance API management.

Download Cheat Sheet

API 보안이 중요한 이유는 무엇인가요?

API는 이제 최신 소프트웨어 개발의 기반이 되었습니다. 대부분의 조직은 API를 사용하여 데이터를 교환하고 내부 또는 외부 소프트웨어 구성 요소와 인터페이스합니다.

그러나 API는 애플리케이션 로직을 노출하기 때문에 악의적인 목적으로 취약점을 악용하려는 해커의 표적이 되는 경우가 많습니다. 손상되거나 노출된 API는 심각한 데이터 침해의 원인 중 높은 순위를 차지합니다.

API 보장'S 보안은 데이터 기밀성을 유지하고 권한이 있는 사용자만 액세스할 수 있도록 하는 것을 의미합니다. 여기에는 전송 중 및 전송 후의 데이터 무결성 보호가 포함됩니다. 이처럼 인식이 높아지면서 API 보안에 대한 관심이 높아졌습니다.

OWASP API 보안: 10대 리스크

OWASP 톱 10 는 개발자가 보안을 염두에 두고 응용 프로그램을 설계하는 데 도움이 되도록 선별된 보안 위험 목록입니다. 하자'이러한 사항이 API와 어떻게 관련되어 있는지 살펴보십시오.

1. 깨진 개체 수준 권한 부여

API는 제어 개체 식별자를 연결할 수 있으며, 적절한 보안이 없으면 API가 해당 식별자를 공개하여 공격에 노출될 수 있습니다. 예를 들어, 2018년 USPS(United States Postal Service)는 취약한 액세스 및 인증 제어로 인해 취약점을 경험하여 6천만 명 이상의 사용자를 위험에 빠뜨렸습니다' 중요한 데이터.

2. 깨진 인증

강력한 인증 메커니즘이 없으면 공격자가 API에 대한 액세스 권한을 얻어 악의적인 목적으로 사용할 수 있습니다. 2021년 6월에는 적절한 인증이 없는 노출된 API가 악용되어 약 130만 명의 개인 데이터가 손상되었습니다. 단순 토큰 또는 키 인증으로 이 공격을 막을 수 있었습니다.

3. 깨진 object-property-level authorization

개발자는 인증된 사용자만 API에 액세스할 것이라고 가정하고 불필요한 데이터를 반환하는 경우가 있습니다. 그러나 공격자는 이 초과 데이터를 악용할 수 있습니다. HealthEngine은 피드백 API에서 이러한 취약점으로 인해 59,000명 이상의 환자가 유출되었습니다' 개인 정보.

4. 무제한 리소스 사용

API 요청이 이루어질 때마다 네트워크 대역폭, 메모리 및 컴퓨팅을 포함하여 일정량의 리소스가 사용됩니다. 이는 무제한 API 요청으로 API에 과부하가 걸리어 운영 비용이 증가하거나 합법적인 사용자에 대한 서비스 거부를 유발할 수 있으므로 내부 취약성을 나타냅니다.

5. 깨진 함수 수준 권한 부여

많은 시스템에는 복잡한 액세스 제어 정책이 있습니다. 함수 수준 권한 부여가 다음과 같은 경우'구현되지 않으면 공격자는 승인되지 않은 기능에 액세스할 수 있습니다. 최근 2022년 9월에는 공격자가 Uber에 침투한 사례가 있었습니다'이 API 취약성으로 인한 IT 인프라.

6. 민감한 비즈니스 흐름에 대한 무제한 액세스

중요한 비즈니스 흐름에 대한 과도한 액세스는 운영을 방해할 수 있습니다. 2011년 CITI는 비즈니스 흐름을 조작한 공격으로 인해 350K 북미 카드 소지자에게 영향을 미치는 데이터 유출 사고를 겪었습니다.

7. 서버 측 요청 위조(SSRF)

SSRF 취약점은 API가 검증되지 않은 사용자 정의 URL에서 데이터를 가져올 때 발생하여 공격자가 보안 조치를 우회할 수 있습니다. Docker 및 Kubernetes와 같은 최신 기술 스택은 특히 취약합니다.

8. 잘못된 보안 구성

안전하지 않은 구성은 민감한 데이터를 노출시키고 무단 액세스를 얻는 다양한 API 공격으로 이어질 수 있습니다. 이러한 취약성은 누락된 패치, 오래된 시스템 또는 노출된 오류 세부 정보와 같은 무수한 요인으로 인해 발생합니다.

9. 부적절한 재고 관리

API가 기존 웹 애플리케이션보다 더 많은 엔드포인트를 노출하는 경우가 많기 때문에 정확한 문서를 유지 관리하는 것이 필수적입니다. 부실한 재고 관리는 안전하지 않은 스토리지, 약한 암호화 또는 부적절한 액세스 제어로 인해 발생할 수 있습니다.

10. 안전하지 않은 API 사용

API 사용은 개발자가 타사 응답에 대해 얼마나 신뢰하느냐에 따라 달라지는 경우가 많습니다. 많은 개발자들은 서드파티 API, 특히 잘 알려진 회사에서 제공하는 API가 본질적으로 안전하다고 생각합니다. 이러한 잘못된 신뢰는 취약성으로 이어질 수 있습니다. 공격자는 API를 직접 대상으로 하는 대신 이러한 타사 통합을 악용할 수 있습니다. SSRF 공격과 같은 인시던트는 응답의 부적절한 검증 및 삭제로 인해 나타날 수 있습니다.

예를 들어, 2021년 1월 Parler는 타사 API가 인증 없이 데이터에 액세스할 수 있도록 허용함으로써 보안 문제에 직면했습니다. 공격자는 중요한 정보가 포함된 URL을 추측하고 인증 없이 데이터에 액세스했습니다.

전문가 팁

By understanding these risks and implementing proper security measures, organizations can significantly mitigate the potential threats associated with APIs. Visit OWASP's API Security Top 10 to get a detailed breakdown of each risk.

SOAP, REST 및 GraphQL에 대한 API 보안

세 가지 기본 API 아키텍처(SOAP, REST 및 GraphQL)에는 각각 고유한 보안 의미가 있습니다.

API ArchitectureSecurity Implications
SOAP API SecuritySOAP is a streamlined, XML-based messaging protocol designed for exchanging structured data in decentralized computer networks. It's adaptable across various protocols such as HTTP and SMTP. SOAP's security layers incorporate both transport layer security (like HTTPS) to encrypt data in transit and message-level security, including XML digital signatures, to uphold message integrity. By following Web Services (WS) specifications, which offer standardized guidelines, SOAP provides security features such as WS-ReliableMessaging for enhanced error handling.
REST API SecurityREST APIs employ JSONs for data representation and rely on HTTP/s for data transfers, streamlining the development process. Since REST lacks inherent security mechanisms, its security is contingent upon the design of the API. Implementing security measures in data transmission, deployment, and client interactions is essential. Typically, REST APIs rely on protocols such as HTTPS and employ token-based authentication to enhance security.
GraphQL API SecurityGraphQL, an open-source API language, functions both as a query language and a runtime for query execution. Its strictly typed schema ensures data consistency. However, its flexibility can be a double-edged sword: complex, unfiltered queries could lead servers astray, potentially running malicious requests. Adopting security practices like throttling, setting query depth limits, and implementing query timeouts can mitigate these vulnerabilities.
전문가 팁

Is your company developing applications with GenAI? Just like any other multi-tenant service, GenAI-incorporating applications can suffer from traditional API vulnerabilities. Learn how to deploy generative AI models as part of your multi-tenant cloud apps securely.

10가지 API 보안 모범 사례

API 보안은 애플리케이션과 데이터를 보호하는 데 매우 중요합니다. 이 10 권장사항 위험을 줄이고 방어를 강화하기 위한 실행 가능한 단계를 제공합니다.

1. 모든 API 검색 및 인벤토리 작성

Your API security tool should offer and inventory of all APIs that are detected and effectively exposed to internet

API 보안의 첫 번째 단계는 API가 존재한다는 것을 아는 것입니다. 섀도우 API, 문서화되지 않은 엔드포인트 또는 개발 중에 생성되었지만 추적되지 않는 API는 심각한 취약점이 될 수 있습니다. 자동화된 검색 도구를 사용하면 모든 API를 검색, 카탈로그 및 모니터링할 수 있습니다. 이러한 도구는 사용 중인 엔드포인트, 매개 변수, 데이터 유형 및 타사 API를 식별하는 데 도움이 됩니다.

정확한 재고를 유지하는 것은 지속적인 프로세스입니다. 새 API, 더 이상 사용되지 않는 엔드포인트 또는 기능 변경을 고려하여 인벤토리를 정기적으로 업데이트합니다. 이러한 가시성을 통해 적절한 보안 정책을 적용하고 다음을 수행할 수 있습니다. 위험 평가을 클릭하고 고위험 API의 우선 순위를 효과적으로 지정합니다.

2. API 위험 식별 & 취약점

Example of an AWS Lambda exposing an API to the internet and storing a secret that allows for lateral movement

위험을 이해하고 완화하는 것은 API 보안의 초석입니다. 손상된 개체 수준 권한 부여 및 주입 공격을 포함하여 OWASP의 주요 API 위험에 대해 API를 평가합니다. 설계에서 배포에 이르기까지 API 수명 주기의 모든 단계에서 취약성을 분석하여 악용되기 전에 문제를 발견합니다.

다층 사용 API 보안 도구 자동화된 취약성 스캐너 및 주기적인 침투 테스트와 같이 구성, 코드 및 종속성의 결함을 감지합니다. 또한 시스템에 통합된 타사 API는 제어할 수 없는 보안 위험을 초래할 수 있으므로 모니터링하십시오. 취약성을 사전에 해결하면 방어를 강화하고 잠재적 노출을 줄일 수 있습니다.

3. 암호화하다 

TLS를 사용하여 통신을 보호하고 API 응답의 민감한 필드를 암호화하여 무단 액세스를 방지합니다. 암호화는 침해 시에도 민감한 데이터를 보호합니다.

암호화 설정을 정기적으로 검토하여 TLS 1.3과 같은 최신 표준을 준수하는지 확인하고 오래되거나 약한 프로토콜을 사용하지 마십시오. 또한 암호화된 데이터의 무결성을 유지하기 위해 정기적으로 키를 교체하고 안전하게 저장하는 등의 적절한 키 관리 방법을 구현합니다.

4. 강력한 인증 및 권한 부여 구현Implement strong authentication and authorization

인증은 API에 액세스하는 사용자를 확인하고, 권한 부여는 사용자가 수행할 수 있는 작업을 제어합니다. 토큰 기반 인증(예: OAuth 2.0)을 사용하여 확인된 사용자 또는 시스템만 액세스할 수 있도록 합니다. 이를 RBAC(역할 기반 액세스 제어) 또는 ABAC(속성 기반 액세스 제어)와 결합하여 세분화된 권한을 적용합니다.

액세스 제어를 정기적으로 감사하고 API 키, 토큰 및 자격 증명을 검토하여 잠재적인 오용이 있는지 확인합니다. 키를 주기적으로 교체하고 중요한 작업에 대해 MFA(Multi-Factor Authentication)를 구현하면 보안이 더욱 강화됩니다. 이러한 조치는 무단 액세스 또는 권한 상승의 위험을 줄입니다.

5. 속도 제한 및 제한 사용

속도 제한은 클라이언트가 설정된 기간 내에 수행할 수 있는 API 호출 수를 제한하여 남용을 방지합니다. 이를 통해 서비스를 중단시킬 수 있는 DoS(서비스 거부) 및 DDoS(분산 서비스 거부) 공격으로부터 보호할 수 있습니다. 스로틀링은 시스템 과부하를 방지하기 위해 과도한 요청의 속도를 늦춰 API 보호의 추가 계층을 추가합니다.

다양한 사용자 역할 또는 API 클라이언트에 대한 사용자 지정 속도 제한을 구현하여 성능과 보안의 균형을 맞춥니다. 사용 패턴에 따라 이러한 임계값을 정기적으로 모니터링하고 조정하여 합법적인 사용자가 실수로 차단되지 않도록 하는 동시에 API를 남용하지 않도록 합니다.

6. API 게이트웨이 사용

API 게이트웨이는 API 트래픽을 관리하고 보안을 유지하기 위한 중앙 집중식 허브 역할을 합니다. 인증을 적용하고, 입력의 유효성을 검사하고, 요청을 적절한 백엔드 서비스로 라우팅합니다. 게이트웨이는 또한 속도 제한, 로깅 및 트래픽 모니터링을 지원하므로 API 보안의 중요한 구성 요소입니다.

최신 API 게이트웨이는 주입 공격 및 기타 일반적인 API 위협으로부터 보호하기 위해 WAF(웹 애플리케이션 방화벽)와 같은 보안 도구와 통합되는 경우가 많습니다. 게이트웨이 내에서 보안 정책을 통합하면 복잡성을 줄이고 모든 API에서 일관된 보호를 유지할 수 있습니다.

위즈 블로그

Automatically discover and secure your APIs with Wiz Dynamic Scanner

더 알아보기

7. 모든 입력 데이터의 유효성 검사

입력 유효성 검사는 API가 미리 정의된 형식 및 예상 형식을 준수하는 데이터만 수락하도록 합니다. 형식이 잘못되거나 예기치 않은 입력을 거부하면 주입 공격, 버퍼 오버플로 및 기타 악용 시도로부터 보호됩니다. 유효성 검사는 쿼리 매개 변수, 헤더 및 페이로드를 포함한 모든 데이터에 적용해야 합니다.

유효성 검사 외에도 입력을 삭제하여 악성 스크립트 또는 코드 조각을 제거합니다. JSON 스키마와 같은 엄격한 스키마를 사용하여 모든 엔드포인트에서 유효성 검사 규칙을 적용합니다. 일관된 입력 유효성 검사는 공격 위험을 줄이고 데이터 무결성을 보장합니다.

8. API 활동 모니터링 및 기록

API 트래픽을 모니터링하면 무단 액세스 시도 또는 비정상적인 요청 패턴과 같은 잠재적 위협에 대한 가시성을 얻을 수 있습니다. 중앙 집중식 시스템에서 요청 및 응답을 기록하면 인시던트가 간소화됩니다. 탐지 및 대응. 로그에는 포렌식 조사를 지원하기 위해 타임스탬프, 사용자 식별자 및 IP 주소와 같은 필수 세부 정보가 포함되어야 합니다.

갑작스런 트래픽 급증 또는 반복적인 로그인 시도 실패와 같은 이상 징후에 대한 자동 경고를 설정합니다. 로그를 정기적으로 검토하여 추세를 파악하고 보안 조치를 구체화합니다.

9. 데이터 노출 제한

API는 노출되는 데이터의 양을 최소화해야 합니다. 요청된 작업에 필요한 필드로만 응답을 제한하고 기본 응답에 중요한 정보를 포함하지 않도록 합니다. 필터링 및 마스킹 기술을 사용하여 기능을 유지하면서 개인 데이터를 보호합니다.

에 대한 API 응답에 대한 정기적인 검토를 수행합니다. 규정 준수 보장 개인 정보 보호 규정 및 보안 모범 사례. 또한 공격자에게 유용한 정보를 제공할 수 있는 구현 세부 정보가 공개되지 않도록 오류 메시지를 제한합니다.

10. 정기적으로 업데이트 및 패치

패치가 적용되지 않은 API와 오래된 구성 요소는 공격자의 일반적인 대상입니다. 취약점이 공개되는 즉시 보안 패치를 적용할 수 있는 프로세스를 수립합니다. 자동화된 도구는 패치를 추적하고 배포하여 업데이트가 지연되지 않도록 하는 데 도움이 될 수 있습니다.

스테이징 환경에서 패치를 테스트하여 프로덕션에 배포하기 전에 호환성과 기능을 확인합니다. API와 해당 종속성을 사전에 업데이트하면 악용 위험이 줄어들고 시스템이 안전하게 유지됩니다.

주요 API 보안 테스트 접근 방식

강력한 테스트 전략은 라이프사이클의 모든 단계에서 API를 안전하게 유지하기 위한 기반입니다. 고려해야 할 주요 접근 방식은 다음과 같습니다.

침투 테스트

침투 테스트에는 취약점을 발견하기 위해 잠재적 공격자의 행동을 모방하는 것이 포함됩니다. 테스터는 인증을 우회하거나, 주입 결함을 악용하거나, API 엔드포인트를 조작하여 방어가 얼마나 잘 유지되는지 확인할 수 있습니다. 이러한 테스트는 자동화된 스캔을 넘어 로직 기반 약점과 공격자가 악용할 수 있는 영역에 대한 통찰력을 제공합니다.

정기적인 침투 테스트는 공개 API와 이러한 API에 특히 유용합니다. 민감한 데이터 처리. 이러한 테스트를 주기적으로 실행하면 자동화된 도구가 놓칠 수 있는 격차를 식별하고 API가 실제 위협에 대해 복원력을 갖도록 할 수 있습니다.

퍼지 테스트

퍼지 테스트는 예기치 않거나, 형식이 잘못되었거나, 임의 입력을 전송하여 API를 한계까지 밀어붙입니다. 목표는 API가 충돌 없이 비정상적인 데이터를 처리하는 방법을 확인하는 것입니다. 정보 유출또는 취약점을 노출할 수 있습니다. 이 방법은 기존 테스트에서 간과할 수 있는 엣지 케이스를 발견하는 데 특히 효과적입니다.

퍼지 테스트에서 최대한의 가치를 얻으려면 노출된 엔드포인트, 쿼리 매개 변수 및 헤더에 집중합니다. 최신 도구는 이 프로세스를 자동화할 수 있으므로 지속적인 테스트를 통해 실시간으로 문제를 식별하고 API 안정성을 강화할 수 있습니다.

자동화된 취약성 검사

자동화된 취약성 스캔은 잘못된 구성, 손상된 인증 및 주입 취약성과 같은 일반적인 API 결함을 감지하는 데 도움이 됩니다. 이러한 도구를 개발 파이프라인에 통합하면 API가 출시되기 전에 보안 문제를 조기에 발견하고 해결할 수 있습니다.

이러한 스캔은 API가 자주 업데이트되는 동적 환경에서 특히 유용합니다. 수동 테스트를 대체하지는 않지만 지속적인 평가를 제공하고 다른 방법을 보완하여 보다 포괄적인 보안 전략을 수립합니다.

보안 테스트를 CI/CD 파이프라인에 통합

이러한 테스트 방법을 CI/CD 파이프라인에 포함하면 보안이 개발 프로세스의 자연스러운 부분이 될 수 있습니다. 자동화된 스캔은 각 빌드에서 실행할 수 있으며, 주기적인 침투 및 퍼지 테스트는 API를 검증하는 데 도움이 됩니다'출시 전 보안. 이러한 사전 예방적 접근 방식은 프로덕션의 취약성을 줄이고 API가 진화하는 위협에 대처할 수 있도록 합니다.

위즈 아카데미

Top 9 OSS API Security Tools

더 알아보기

전체 API 보안 체크리스트

API 보안은 API를 통해 가능한 데이터, 서비스 및 신뢰를 보호하는 것과 관련이 있습니다. 이 체크리스트는 API 수명 주기 전반에 걸쳐 취약성을 해결하는 데 필요한 필수 사례와 고급 전략을 다룹니다.

인증 & 출입 통제

  • OAuth 2.0 또는 상호 TLS와 같은 토큰 기반 인증 프로토콜을 사용합니다.

  • 역할 기반 접근 제어를 적용하고 다음을 따릅니다. 최소 권한의 원칙.

  • API 키, 토큰 및 자격 증명을 정기적으로 감사하고 교체합니다.

  • 중요한 엔드포인트에 대한 MFA를 구현합니다.

데이터 보안

  • TLS 1.2 이상을 사용하여 전송 중인 모든 데이터를 암호화합니다. 미사용 데이터도 암호화하는 것이 좋습니다.

  • API 응답에서 민감한 정보에 대한 필드 수준 암호화 또는 토큰화를 적용합니다.

  • 필요한 필드만 반환하여 데이터 노출을 최소화하도록 API를 설계합니다.

  • 로그의 중요한 필드를 정기적으로 검토하고 마스킹하여 실수로 유출되지 않도록 합니다.

입력 유효성 검사 & 삭제

  • 스키마(예: JSON 스키마)를 사용하여 엄격한 입력 유효성 검사를 적용합니다.

  • SQL, 명령 및 XML 삽입을 포함한 삽입 공격으로부터 보호하기 위해 입력을 삭제합니다.

  • 예상 형식에서 벗어나거나 허용되지 않는 문자를 포함하는 입력을 거부합니다.

  • 오류 처리 및 디버그 인터페이스와 같이 명확하지 않은 엔드포인트를 포함하여 모든 엔드포인트에서 유효성 검사를 일관되게 적용합니다.

모니터링 & 로깅

  • API 트래픽을 지속적으로 모니터링하여 스파이크, 무단 액세스 또는 비정상적인 요청 패턴과 같은 이상 징후를 확인합니다.

  • 로그를 중앙 집중화하여 신속한 인시던트 탐지 및 분석을 가능하게 합니다.

  • 로그에 민감한 데이터를 노출하지 않고 충분한 컨텍스트(예: 요청 원본, 페이로드 및 응답 시간)가 포함되어 있는지 확인합니다.

  • 무차별 대입 공격 또는 자격 증명 스터핑과 같은 잠재적 위협에 대한 임계값과 자동화된 경고를 설정합니다.

보안 테스트

  • 정기적인 침투 테스트를 예약하여 실제 공격 방법에 대한 API 보안을 평가합니다.

  • 퍼지 테스트를 수행하여 API가 예기치 않거나 잘못된 형식의 입력을 처리하는 방법을 평가합니다.

  • 자동화된 취약성 스캐너를 개발 파이프라인에 통합하여 잘못된 구성과 일반적인 결함을 조기에 포착합니다.

  • 타사 파트너와 공유하는 API를 포함하여 공개 및 내부 API를 모두 테스트합니다.

패치 & 업데이트 관리

  • 종속성, 프레임워크 및 라이브러리에서 알려진 취약성을 지속적으로 추적합니다.

  • 자동화된 도구를 사용하여 패치를 신속하게 배포하고 지연을 방지할 수 있습니다.

  • 테스트 프로세스를 유지 관리하여 업데이트로 인해 실수로 새로운 취약성이 발생하지 않는지 확인합니다.

속도 제한 & 남용 방지

  • 속도 제한을 적용하여 API 사용량을 제어하고 리소스 고갈을 방지합니다.

  • 제한을 사용하여 개별 사용자 또는 응용 프로그램의 과도한 호출을 제한합니다.

  • 특정 API 클라이언트에 대한 할당량을 구성하여 합법적인 사용과 리소스 보호의 균형을 맞춥니다.

  • CAPTCHA 또는 행동 분석을 통합하여 봇 공격 및 남용을 완화합니다.

API 인벤토리 & 라이프사이클 관리

  • 섀도우 및 더 이상 사용되지 않는 API를 포함한 모든 API의 최신 인벤토리를 유지 관리합니다.

  • 취약한 API 엔드포인트에 노출 또는 불필요한 기능이 있는지 정기적으로 검토합니다.

  • 사용하지 않는 API를 안전하게 폐기하여 공격 벡터가 되지 않도록 합니다.

Wiz로 API 보안 태세를 강화하세요

API 보안을 위한 기존 솔루션은 대부분 에이전트와 네트워크 스캐너를 기반으로 합니다. 그러나 이는 완전한 가시성을 제공하지 못할 뿐만 아니라 배포하기도 복잡합니다. 와 함께 Wiz 다이나믹 스캐너, Wiz는 API 보안에 대한 새롭고 현대적인 접근 방식을 도입했습니다.

Wiz Dynamic Scanner는 모든 주요 클라우드 제공업체에 대한 에이전트 없는 스캔을 통해 배포의 모든 클라우드 계층을 분석하여 클라우드 환경에 존재할 수 있는 모든 위험 구성 요소와 공격 경로를 탐지할 수 있습니다. 

이 접근 방식은 인터넷에 노출된 모든 API와 관련 컨텍스트를 식별할 수 있는 완벽한 가시성을 제공하므로 노출된 항목과 악용될 경우 폭발 반경을 완전히 이해할 수 있습니다. 

보다 명확하게 이해하고 환경에서 어떻게 작동하는지 확인하려면 다음을 수행합니다. Wiz와 함께 데모 예약하기.

An agentless, contextual approach to API security

Learn how with Wiz, customers can now simply answer the question of where do I have exposed APIs in my environment with all the context associated with the execution environment.

Wiz가 귀하의 개인 데이터를 처리하는 방법에 대한 자세한 내용은 다음을 참조하십시오. 개인정보처리방침.

API 보안 FAQ