개발단계 API 테스트 기능 제공…CI/CD 파이프라인과 통합 운영
[데이터넷] 최근 마이크로 서비스, 마이데이터, 디지털전환 그리고 클라우드 시장의 급격한 성장으로 오픈소스 의존도가 상대적으로 큰 API의 관리 및 보안의 중요성이 급증하고 있다.
아이씨티넷이 국내에 공급하는 노네임시큐리티의 API 통합보안솔루션은 이러한 API에 대한 보안문제들을 해결하기 위해 API 자산현황관리, API 런타임 보안, 해커의 공격에 필요한 정보 사전차단 기능, API 개발단계에서의 테스트 등을 AI/머신러닝 기반의 플랫폼을 통해 제공하는 API보안 통합플랫폼이다.
노네임시큐리티 플랫폼은 OWASP에서 제시하는 API 보안 TOP10 리스크의 모든 보안취약점에 대해 탐지 분석할 수 있다. RESTful API를 포함, GraphQL, gRPC, JSON-RPC등 현존하는 모든 API, API 게이트웨이에서 관리하지 못하는 로그(Rouge) API, 섀도우 API 등을 지원한다. 이로써 기업에서 사용중인 전체 API에 대해 개발단계부터 운영까지 전반적인 API 관리 및 통합보안 기능을 제공한다.
노네임시큐리티 API 통합보안 솔루션은 API 형상관리(API Posture Management) 기능을 제공, 사용중인 모든 API의 인벤토리를 파악 분석할 수 있고 각 API에 대한 구성 및 변경사항, API에 접속하는 데이터 타입, 사용자 수 등 세부적인 내용을 정교하게 파악 분석해준다. 또한 표준 API, 비표준 API 및 로그(Rogue), 섀도우 API등 현존하는 모든 API에 대해 적용할 수 있다.
또 이 솔루션은 API 런타임 보안 기능을 제공한다. 자동화된 AI/ML 기반 플랫폼을 기반으로 한 실시간 트래픽 분석으로 API 보안 취약점을 탐지하며, 데이터 유출, 조작, 정책 충돌, 이상 징후, 기타 API 취약점 공격에 대해 실시간으로 세밀한 내용파악하고 분석하며 조치할 수 있다.
더불어 리콘(Recon) 기능을 활용해 사이버 킬 체인에 대한 선제적 대응을 지원한다. 해커의 행동 양식을 기반으로 해커가 악용할 수 있는 공격경로를 파악할 수 있도록 주기적으로 API 최상위(Root Level), 하위 도메인을 수집하고 공개소스 저장소 등을 사전 수집 탐색해 API 인터페이스의 인터넷 공개여부, API 키 및 기타 기밀사항 유출 그리고 WAF, CDN 바이패스 여부등의 이슈를 사전에 파악하여 API 공격 사각지대를 사전에 제거할 수 있다.
액티브 API 테스트를 데브옵스와 결합해 개발단계에서부터 API 보안테스트를 한다. 사전에 보안취약점을 탐지, 분석을 할 수 있으며 각 개발단계마다 온디멘드로 적용할 수 있고 CI/CD 파이프라인과 통합할 수 있어 ‘시프트 레프트(Shift-Left)’ 구현이 용이하다. 도입을 위한 비용을 절감할 수 있는 추가적인 이점을 얻을 수 있다.
노네임시큐리티 플랫폼은 아웃오브밴드 방식으로 구축하기 때문에 기존 인프라 변경없이 손쉽게 구현할 수 있으며 온프레미스 뿐만이 아니라 SaaS형태의 클라우드 또는 하이브리드등 다양한 환경에서 구축 운영이 가능하다.
