웨비나속 Q&A

F5는 여러가지 제품에서 다양한 형태로 API 보안을 제공합니다. 그중에서도, 오늘 중점적으로 말씀드리는 제품은 F5 XC라는 제품입니다. F5 XC는 SaaS형태의 서비스와 소프트웨어를 설치해서, 데이타 처리는 온프라미스로 처리되는 방식 2가지가 있습니다. API 보안에 대한 기능 차이는 없습니다.

보안 적용을 위한 WAAP 홉(Hop)이 추가 되면 이 Hop이 약간의 latency가 발생은 하겠지만, 실제 사용자 경험에 영향을 줄 만큼의 Latency를 유발 하지는 않을걸로 판단 됩니다.

AI의 경우 분석 Engine은 외부 Cloud에 존재 하기 때문에 폐쇠망에서는 사용이 불가능 합니다.

F5 WAAP 솔루션에서는 TLS termination기능을 제공 하기 때문에 모든 TLS traffic에 대한 가시성을 제공하고 있습니다.

아 그럼 별도의 가시성 장비가 필요가 없을 것 같군요..답변 감사합니다.

말씀 주신 내용이 바로, 2023년도 OWASP API Top 10에 추가된 API10: Unsafe Consumption of APIs 공격에 해당된다고 보여집니다. F5솔루션으로 해당 문제점을 보완하고 있는 글로벌 기업들이 현재 있습니다.

DDoS는 아니더라도 Rate Limit기능을 사용 가능 합니다. Cookie와 같은 다양한 사용자 식별 값을 이용하여, 하나의 식별된 사용자의 traffic rate을 제한 할수 있는 기능등으로 방어가가 가능 합니다.

API 보안 전용 솔루션을 API 게이트웨이 앞단에 설치하여서, 발생 가능한 오류나 문제점을 선제적으로 탐지하는 것이 중요합니다.

이전 패러다임으로는 다양한 보안 장비를 일렬로 연결해서 보안 기능을 구축 하였지만, SaaS 기반으로 이동하면서 WAAP 기능을 통합해서 하나의 Solution으로 제공하는 간단하게 구축 할 수 있는 형태로 진화 하고 있습니다. F5는 WAF 뿐만 아니라 DDoS 및 API 보안 기능들을 하나의 Solution으로 통합해서 제공 가능 합니다.