웨비나속 Q&A
최근 웨비나 진행 중 발생한 질문과 답변을 조회할 수 있습니다
[질문] BOLA 공격을 막기위해서는 OWASP top 10에 대한 대비를 하면 어느정도 막을 수 았는것인지 그렇다면 스페로우, 블랙덕 같은 것은 통한 sbom 분석도 api 공격에 효과적인지요?
아직 답변이 없습니다
[질문] 기업마다 운용하는 보안정책이 달라서 Security Trigger를 부서마다 다르게 적용하다보면 복잡성이 계속 증가하는 문제가 있는데, F5에서는 API 보안 강화를 위해 운용중인 인프라에 보안기능을 어떻게 내재화하여 이런 부분에 대해 지원하나요?
아직 답변이 없습니다
(질문) API 등을 활용한 Legacy 시스템과 연계한 효율적인 업무 향상 방안이 있을까요? 그리고 버전 Update 시, 안정적인 서비스의 경우 어려운 PM 등 변경작업이 많아질 수 있을 것으로 우려되는데요. 어떻게 하면 효율적인 관리가 가능할까요?
아직 답변이 없습니다
[질문] 도입을 시작하기 전에 준비해야 할 사항과 고려해야 할 사항이 무엇이 있나요? 또, 도입 기간 중에 가장 어려웠던 점이 무엇인가요?
아직 답변이 없습니다
[질문] AI 기반 인텔리전스 기능으로 API 침해탐지 오류를 줄여갈 수 있도록 지원하나요?
아직 답변이 없습니다
[질문] object id에 대한 권한 검증이 온프라미스보다는 클라우드가 더 용이한지 궁금하고 그럼 api 보안을 위해서는 클라우드 환경이 더 효과적인지요?
AI/ML은 한정적인 리소스의 제약이 존재하는 온프라미스 환경보다 방대한 리소스를 제공할 수 있는 클라우드 환경이 더 효과적이라고 말씀드릴 수 있겠습니다.
F5 기술지원
2024-03-27 14:33
[질문]API 게이트웨이에서 서비스를 호출을 위해 IP 주소와 포트를 알아야 하는데 클라우드기반에서 해당서비스의 위치를 서비스디스커버리외에 다른 방법을 사용해서 알수있을까요?
아직 답변이 없습니다
[질문] 해커들의 보안 공격에도 AI 활용이 증가한다고 하는데, API 보안에서 악용되는 유형이나 테크닉들은 어떤게 있고, 효과적인 대응 기법은 어떤게 있을지 궁금합니다.
아직 답변이 없습니다
[질문] 행위기반 AI분석을 통한 랜섬웨어 위협 가시성 확보 방안이 있다면 설명 부탁 드립니다.
아직 답변이 없습니다
[질문] 행위기반 탐지를 할때 패턴을 활용하는것과 패킷분석을 하는 방법이 모두 사용될듯 한데 api 보안에서는 패턴쪽이 더 중요한지 아님 패킷분석이 더 중요한지 궁금합니다. 이때 오탐을 줄일수 있는 방안은 무엇인지요?
아직 답변이 없습니다
[질문]레프트 시프트와 라이트 시프트 보안 처리에 있어서, 레프트 시프트 단계에서 위험을 줄이기 위한 API 개발 위험에 대한 사전 취약점에 대한 검증과 검트에 대한 지원과 개발자와의 협업 시 중요한 것은 무엇인지요? 이미 오픈된 API에 대한 통제와 서비스 차단 문제를 줄일 수 있는 주요 방안과 F5를 통한 지원은 무엇인지요?
F5는 레프트 시프트, 즉 디자인-개발-테스트-배포 단계의 보안을 위해 개발 코드 취약점 검증을 위한 보안 기능을 제공하고 있습니다.
F5 기술지원
2024-03-27 14:31
(질문) API 사용시 가장 곤혹스러운 경우가, 보안이나 성능개선의 이유로 구 API를 deprecate시키고, 몇개의 parameters를 바꾸는 업그레이드 등을 하는 경우, 해당 API를 호출했던 모든 부분을 이에 맞추어 변경해 주어야 한다는 점인데, 이런 부분에서 개선된 사항이 있나요?
그렇기 때문에 API 디스커버리 기능을 활용하여 shadow API 탐지 및 차단이 필요한 부분입니다.
F5 기술지원
2024-03-27 14:30
[질문]API게이트웨이의 단점이 역할이 많고 이트웨이에 장애가 나면 서비스 전체가 사용이 불가능한점이 있는데 이런점은 어떻게 개선이 가능할까요?
API 게이트웨이 역시 HA 또는 앞단에서 LB를 통한 서비스 장애에 대응합니다.
F5 기술지원
2024-03-27 14:24
[질문] 관련 단체나 표준단체의 데이터 침해에 대한 규정이나 법규 같은 건 진행사항이 없나요?
아직 답변이 없습니다
[질문] 기업의 클라우드 보안에서 가장 중요한 고려사항이 클라우드 워크로드 보안이라면 기업의 복잡한 애플리케이션 실행환경을 안전하게 보호하기 위해 최적화된 클라우드 워크로드 보안 적용 방법은 무엇인지 궁금합니다.
클라우드 제공 사 마다 제공되는 보안 툴이 다르기 때문에 앱 운영자 입장에서 새로운 클라우드를 사용할 때 마다 새로운 기술과 운영방식을 학습해야 합니다. 하지만 이러한 운영의 복잡성이 휴먼에러를 발생시키고 이는 새로운 보안위협을 만들 수 있습니다. 따라서 일관적이며 쉬운 보안정책을 운용하는 방안이 필요할 듯 합니다.
F5 기술지원
2024-03-27 14:33
[질문] 최근 엔터프라이즈가 가장 우선 순위를 두고 있는 API는 AI 특히 LLM 관련 API 개발 같습니다. LLM API 영역에서 나타나는 두드러진 보안이슈나 유의점들은 어떤게 있을지 궁금합니다
아직 답변이 없습니다
[질문]룰셋으로 차단하는 방식은 수작업등으로 관리가 어려울것 같은데 오탐을 최소화화한 시그니처 차단방식은 지원하는지 궁금합니다.
F5 Distirbuted Cloud Service 는 쉐도우 API 대응을 위한 자동 API Discovery 기능을 제공하며, AI/ML 기법을 활용하여 의심되어지는 사용자를 인지 할 수 있으며, 약 8000개 이상의 시그니처를 제공합니다.
F5 기술지원
2024-03-27 14:25
[질문] 기업들이 멀티 클라우드 제공기업의 솔루션을 사용하면서 관리 및 운영에서 발생할 수 있는 문제점은 무엇이 있나요?
일관된 보안 정책 적용의 어려움 및 서비스에 대한 가시성 등등 다양한 운영적인 관점의 부분에서 문제점이 발생할 수 있습니다.
F5 기술지원
2024-03-27 14:34
(질문) 핀테크 기업이 고객 대신 API를 통해 고객의 금융·신용정보에 접근하거나 금융회사에 거래를 요청하는 과정에서 API 접근권한과 관련한 고객 인증, 접근수단 관리,등이 부적절하게 이루어질 경우 악의적인 공격이 이루어질수있는데 이에대한 보안책등은 어떤게 있는지요?
F5 XC 클라우드 서비스는 외부의 클라우드 기반의 인프라 외에 고객 인프라 환경에 소프트웨어(CE : Customer Edge)를 배포하여 고객 인프라 내부에 위치한 앱에서 외부로의 API 호출에 있어 CE를 경유하게 함으로서 API 보안을 강화할 수 있습니다.
F5 기술지원
2024-03-27 14:22
[질문] 만약 기업의 보안솔루션을 f5를 사용한다면 가장 먼저 패킷을 받는 장비가 api가 되어 하는지 아님 네트웍 장비가 되어야 하는지 궁금하고 api gateway 가 가장 앞단에 있을때 암호화된 패킷의 복호화도 지원을 하는것인지 궁금합니다.
아직 답변이 없습니다