API 보안 솔루션

Protect against shadow APIs, data exposure, and other API threats with API defense-in-depth

소비자와 최종 사용자는 계속해서 API로 구동되는 더 많은 동적 웹 경험과 모바일 경험을 기대하고 있습니다. 하지만 API가 더 빠르게 확산될수록(종종 보안 감독 없이) 서비스의 기본 인프라는 더 많은 위험에 직면할 수 있습니다. 목적에 맞게 설계된 API 보안 솔루션은 취약점 익스플로잇, API 오류, DoS 및 DDoS 공격, API 사기 및 기타 새로운 API 위협을 완화합니다.

자세히 알아보기

이점

As organizations expose more services via APIs, it becomes more important to deploy comprehensive API security and management

공격면 최소화

자동화된 API 탐색 및 가시성을 통해 기존 API 자산의 명확한 인벤토리 확보

API 성능 개선

대기 시간, 오류 및 오류율, API 기반 도메인의 응답 크기와 같은 API 엔드포인트 메트릭 모니터링

볼류메트릭 및 비즈니스 로직 남용 차단

서비스 거부 공격, 계정 탈취 시도, 기타 API 남용을 차단하여 리소스 소모 방지

API 소프트웨어 zero-day 공격으로부터 보호

AI 기반 zero-day 감지 및 인터넷 규모의 위협 인텔리전스를 통해 API 소프트웨어에 최신 zero-day를 활용하여 공격 차단

작동 방식

API 보안이란?

현대 비즈니스는 API를 사용하여 빠르고 놀라운 디지털 경험을 지원합니다. 하지만 이제 Cloudflare가 처리하는 인터넷 트래픽의 절반 이상을 차지하는 API는 외부에서 앱에 대한 액세스 권한을 부여하기 때문에 새로운 위험을 초래합니다. 이러한 문제는 지속적인 배포 주기가 빨라져 보안 조치를 소홀히 할 때 더욱 심각해집니다.

API 보안은 앱 로직을 노출하고 앱 성능을 방해하며 중요한 데이터를 노출하고 기타 위협으로 이어질 수 있는 API 중심 공격으로부터 보호하는 역할을 합니다. 다른 일반적인 웹 앱 보안 서비스에 비해 API 보안 솔루션은 보다 심층적인 비즈니스 컨텍스트, 탐색 방법, 인증 및 권한 확인 제어 기능을 제공합니다.

Shadow APIs

Many organizations lack a complete inventory of their APIs. Such “shadow APIs” can lead to data exposure, unpatched vulnerabilities, lateral movement, and other risks.

Business logic-based fraud

Bot operators can directly attack the APIs behind workflows such as account creation, form fills, and payments to steal credentials and more.

Insecure AI-generated code

The rise in generative AI brings potential risks, including AI models’ APIs being vulnerable to attacks, as well as developers shipping flawed AI-generated code.

왜 Cloudflare를 사용해야 할까요?

주요 사용 사례

Protect APIs wherever they are hosted — without compromising developer innovation and productivity

섀도우 API 발견

조직이 API의 존재를 모른다면 이를 보호하거나 관리할 수 없습니다. 머신 러닝 및 세션 식별자 모델을 통해 섀도우 API를 비롯한 모든 API 엔드포인트를 탐색합니다.

자세히 알아보기

API 남용 완화

봇과 DDoS 공격은 점점 더 API를 악용하여 자격 증명과 금전을 탈취하고 있습니다. API는 일반적으로 웹 앱보다 낮은 수준에서 보호됩니다. 검증된 정상 API 트래픽만 허용하여 API 남용을 방지하세요.

자세히 알아보기

데이터 유출 감지

조직의 자체 API 또는 타사 API 통합의 취약점으로 인해 권한이 없는 데이터 액세스를 초래할 수 있습니다. 모든 SaaS 앱, 웹 앱, API에 걸쳐 데이터 유출 보호를 통합하세요.

자세히 알아보기

API 성능 추적 및 분석

API 오류는 결과적으로 합법적 트래픽을 차단하게 되는 사이버 공격 또는 앱 성능 문제를 나타낼 수 있습니다. API가 실제로 어떻게 작동하는지 이해한 다음 가장 적절한 조치를 신속하게 취해 보세요.

자세히 알아보기

KEY CAPABILITIES

One integrated web application and API security platform delivers defense-in-depth for APIs

내장형 인증

불법 클라이언트의 요청을 차단하세요. mTLS 인증서, JSON 웹 토큰(JWT), API 키, OAuth 2.0 토큰을 통해 API 트래픽을 인증하고 권한을 부여하세요.

API 남용 감지

엔드포인트별 세션 기반 레이트 리미팅 제안 및 GraphQL 서비스 거부(DoS) 보호를 통해 기준 API 트래픽을 설정하고 남용을 차단하세요.

스키마 유효성 검사

많은 API 유출은 권한을 부여하는 스키마(유효한 API 요청/응답을 정의하는 메타데이터)로 인해 발생합니다. 스키마 유효성 검사는 유효하지 않은 요청과 HTTP 이상을 차단하여 유효한 API 요청만 수락하도록 합니다.

중요한 데이터 보호

서버 원본을 활용하여 API 응답 내에서 중요한 데이터를 감지하고 엔드포인트별 알림을 수신하세요.

혁신을 저해하지 않고 API를 보호할 준비가 되셨나요?

요금제 비교

리소스

보고서

전 세계 API 보안 동향 및 예측

보고서 읽기

전자책

CISO를 위한 API 보안 가이드

전자책 보기

솔루션 요약

Cloudflare API Shield: 비즈니스를 추진하는 API 관리 및 보호

솔루션 요약 확인하기

블로그

Defensive AI: 차세대 위협에 맞서는 Cloudflare의 프레임워크

블로그 읽기

기사

새로운 API 위협에 대응하기 위한 3가지 방법

문서 읽기

블로그

악성 쿼리로부터 GraphQL API 보호

블로그 읽기

API 보안 솔루션 FAQ

API 보안과 웹 앱 보안의 차이는 무엇인가요?

API는 차별화되는 수많은 고유한 특성이 있습니다. 예를 들어, API는 여러 시스템 간에 데이터를 교환합니다. 반면에 웹 앱에는 최종 사용자가 웹 브라우저를 사용하여 액세스합니다. 또한, API는 다양한 형식을 사용하여 데이터를 전송하고 백엔드 시스템에 직접 액세스합니다. 보통 최신 웹 앱과 이러한 웹 앱의 백엔드 데이터베이스 및 서버 사이의 중개자 역할을 합니다. 이를 비롯한 기타 차이점으로 인해 API 보안 감지 방법론은 웹 앱 보안과 다릅니다. 삽입 공격 및 액세스 위험과 같이 중복되는 취약점 범주가 존재함에도 불구하고 마찬가지입니다.

일반적인 API 보안 접근 방식에는 어떤 것이 있을까요?

조직에는 API 성장을 관리하는 다양한 접근 방식이 있습니다. 여기에는 전체 수명 주기 API 관리, API 관찰 가능성, 보다 포괄적인 접근 방식인 웹 앱 및 API 보호(WAAP) 등이 존재합니다. API 관찰 가능성 도구는 보안에 초점을 맞추기보다는 API 성능에 대한 관찰과 인사이트를 제공합니다. 전체 수명 주기 API 관리는 API 관리에 중점을 두는 경우가 많지만 보안의 정교함이 부족합니다. Gartner는 WAAP(웹 앱 및 보호)를 호스팅되는 위치와 관계없이 웹 앱을 보호하기 위해 설계한 보안 솔루션 카테고리로 정의합니다. WAAP는 프로덕션, 실시간 모니터링, 남용, zero-day 위협 및 공격자로부터 보호하기 위한 측면에서 API에 가장 적합합니다.

REST API를 보호하려면 어떻게 해야 하나요?

REST API를 사용하면 클라이언트는 서버에서 리소스를 요청할 수 있습니다. 서버는 현재 상태의 정보를 클라이언트에 반환합니다. 공격자는 REST API의 ‘호출 및 응답’ 프로세스 과정에서 언제든지 API를 공격 대상으로 삼을 수 있습니다. 따라서 REST API 남용을 방지하려면 인증된 ‘정상’ API 트래픽만 인증하여 불법 클라이언트의 요청을 차단해야 합니다. API 인증 및 권한 부여 방법에는 mTLS 인증서, JSON 웹 토큰, 유효한 API 키, OAuth 2.0 토큰 등이 있습니다.

API 키를 보호하려면 어떻게 해야 하나요?

사용자 자격 증명을 별도로 인증하는 대신 API 요청과 함께 비밀 텍스트 문자열을 전송하는 API 액세스 키를 통해 API에 더 안전하게 액세스할 수 있습니다. 하지만 API 키는 여전히 메시지 가로채기 공격, 개발자의 부적절한 사용, 소스 코드의 문제가 있는 비밀 저장과 같은 위험을 마주할 수 있습니다. JSON 웹 토큰(JWT)은 정적 API 키에 대한 보다 안전하고 유연한 대안을 제공합니다. 단, 중요한 데이터가 페이로드에 포함되는 것을 방지하고 토큰 만료를 시행하려면 안전한 암호화 알고리즘을 사용하여 JWT에 서명해야 합니다.

API 보안을 테스트하려면 어떻게 해야 하나요?

IT, 보안 및 앱 개발 이해관계자는 다양한 메트릭을 통해 자체 API 보안 수준을 평가할 수 있습니다. 예를 들어, 강력한 API 보안 모델을 갖춘 조직은 모든 API가 데이터를 준수하고 강력한 인증 또는 권한 부여 방법을 사용하고 있음을 보여주는 최신 API 자산 인벤토리를 보유해야 합니다. 또한, 감사를 진행하여 API 요청에 사용된 자격 증명이 노출되거나 손상되었는지 확인하고 API 요청/응답에서 개인 식별 정보(PII), 신용카드 데이터 또는 개인 건강 정보를 스캔해야 합니다. 또한 각 엔드포인트에서 관찰 가능한 트래픽 패턴을 기반으로 API에 대해 적응형 및 지능형 속도 제한을 설정할 수 있는 기능은 더욱 향상된 API 보안의 지표가 되기도 합니다.

API 남용의 형태에는 어떤 것들이 있을까요?

API 남용은 실제 사용자의 사용자 경험을 방해하거나 악화하는 비즈니스 로직의 결함 및 앱 취약점을 악용하여 API를 악의적으로 악용하는 것을 의미합니다. 오늘날 API에서 가장 흔하게 볼 수 있는 것으로는 데이터 노출, 비인가 작업, 보안 제어 우회, 서비스 중단, 권한 상승이 있으며 이는 취약한 개체 수준 권한 부여(BOLA) 및 취약한 기능 수준 권한 부여(BFLA)로 알려진 인증 및 허가 제어가 부족해서 발생합니다.