웨비나속 Q&A
최근 웨비나 진행 중 발생한 질문과 답변을 조회할 수 있습니다
Web firewall로 API 보안을 최적으로 유지하고 향상시킬 수 있는 방법에 대해서 질문드립니다
웹방화벽으로만 필요한 API 보안을 해결하기는 어렵다고 생각됩니다.
F5 담당자
2023-12-07 14:40
저는 보안을 하는 사람인데요.. 제가 웹방화벽 얘기를 하면 개발자들은 API보안으로 알아듣는 경우가 많더라구요. 요즘 L7 layer 에서 어플리케이션이 통신하는 방식이 주로 api이다 보니 그렇게 인식하는 것 같습니다. 물론 저도 웹방화벽이 API보안을 해결해 주지는 않는다고 봅니다.
김정훈
2023-12-07 14:46
[질문] API 보안에 대한 글로벌 위협 정보의 업데이트 방식과 주기는? 관련하여 F5 자체의 위협정보 DB 제공여부는?
아직 답변이 없습니다
아직 답변이 없습니다
[질문-3] 내부 구성원이 외부 인테넷을 사용 시 첨부문서 및 게시글을 마음대로 쓰게 허용하도록 하고 GAI를 이용하여 해당 게시글이 보안에 위반될 경우 반출전 경고나 막을 수 있는 방안이 있는지요?
아직 답변이 없습니다
현재 관리 되지 않는 Shadow API가 보안 문제로 대두 되고 있습니다. 이러한 Shadow API를 찾아서 보안 문제가 발생 하기전, 사전에 보안 hole을 제거 할 수 있는지 궁금합니다.
네 F5 제품을 통해서 API에 대한 가시성과 정책 적용이 가능합니다.
F5 담당자
2023-12-07 14:36
[질문] 오픈소스의 API 취약점에 대한 별도의 탐지 시그니처등이 제강되는지 궁금하고 실제 해킹시도는 어떤 탐지기법이나 방식으로 탐지되는지 궁금합니다
아직 답변이 없습니다
[질문]North-South바운드의 트래픽에 대해 F5의 성숙된 웹방화벽 보안레벨을 적용 가능한 방법이 있는지요? East-West간의 통신에 대한 보안이 필요할때 방법은 어떻게 되는가요?
F5는 다양한 보안 솔루션을 통해 보안을 적용할 수 있습니다. North-South는 웹방화벽이나 SaaS 형태의 보안 솔루션을 제공해 드리고 있으며 East-West에서는 컨테이너 형태의 보안 솔루션을 제공해드리고 있습니다.
F5 담당자
2023-12-07 14:36
[질문]NGINX Controller를 통해 멀티 클라우드 환경에서도 다수의 NGINX 인스턴스들에 대한 설정, 관리, 모니터링을 제공하는지와 커스토마이징 가능여부등이 궁금합니다.
아직 답변이 없습니다
[질문]API 게이트웨이 로깅의 분석을 처리하는 방법으로 엘러스틱 서치 서비스외에 다른 적절한 방법이 있을까요?
아직 답변이 없습니다
[질문] api 를 만들때 개발자의 시큐어 코딩 습관도 방어에 큰 도움이 되는지 궁금하고 API 에 대한 별도의 시큐어 코딩 교욱은 없는 것 같은데 해외는 API의 시큐어 코딩 과정도 별도로 존재하는지요?
아직 답변이 없습니다
[질문]마이크로서비스의 각 서비스는 독립적으로 배포되기때문에 부분 장애가 발생할 수 있는데 API 게이트가 해당서비스 호출시 장애가 났을때 서비스 영향을 최소화하기위해 어떤 방법으로 처리하는게 적절할까요?
아직 답변이 없습니다
[질문-2] 사내 인터넷 사용을 금지는 어렵고... 인터넷에 파일첨부는 못하도록 막았고 시도시 경고 가능하고 게시글도 100자정도까지는 허용하나 그 이상 넘으면 막고 있습니다. 이에, 내부 사용자에 의한 중요정보 유츌에 한계가 있습니다. 게시글에 특정 키워드나 전반적인 중요정보 유출 여부를 GAI를 이용하여 방지 및 경고할 수 있는지요?
아직 답변이 없습니다
(질문) 담당자 부재 시 발생할 수 있는 긴급상황, 랜섬웨어/해킹 공격, 장애상황시 서비스 복구 측면에서 어떠한 솔루션을 제공해줄 수 있는지? 궁금합니다.
아직 답변이 없습니다
[질문] 개발시 발생했던 실패 사례 및 해결방법에 대해 궁금합니다.
아직 답변이 없습니다
/타사 대비 차별점 및 강점에 대해 알고 싶습니다.
아직 답변이 없습니다
[질문] OWASP API TOP 10에 기존에 없던것이 추가된것이 많은데 또 내년에는 다른 TOP 10 나올수 있고 이런것은 기존 장비로는 못 잡고 버젼을 업데이트 해야 잡는다고 웹방화벽 장비업체나 방화벽 기관들이 얘기하는데 그럼 기관은 해마다 장비를 업데이트해야 하는 구조인데 F5 는 이런 신규 공격에 대한 대처는 기존 장비나 버젼에도 지원을 해주는지 궁금합니다.
F5에서는 OWASP API Top 10 내용이 Update될때 마다, F5에서는 해당 변경 내용에 대해서 Guide를 제공 하고 있습니다. https://my.f5.com/manage/s/article/K000135973
F5 담당자
2023-12-07 14:36
[질문-1] 인사담당자 또는 팀장분들이 출입보안으로 취합된 구성원 출입정보를 근거 요청하는데 개인정보법에 위반 근심이 있습니다. 빠져나갈 수 있는 방법이 없겠는지요?
아직 답변이 없습니다
[질문] http 의 보안은 웹방화벽을 권안 과 인증 을 받지 못한 차단 하는 방식으로 한계가 있으므로 새로운 추가 방식을 요구 되는지 궁금합니다. ?
웹방화벽은 시스네쳐 기반의 공격을 차단하는 솔루션이라고 이해 하시면 되고, 권한과 인증을 통한 접근 제어는 다른 솔루션이 필요합니다. 이 솔루션을 통해 IdP와 연동을 해서 현재 접근한 사용자에 대한 인증과 권한 정보를 획득 해야만 제어가 가능하고 F5는 APM (Access Policy Manager) 제품이 따로 존재 하고 있습니다.
F5 담당자
2023-12-07 14:34
[질문]API 게이트웨이가 단일 팀에서 개발된 경우 개발병목이 발생할수있는데 내부 마이크로 서비스에서 작업 중인 다른 팀에서 소유하는 여러 영역 또는 레이어로 API 게이트웨이를 내부적으로 구분하는것외에 다른 적절한 방법이 있을까요?
아직 답변이 없습니다
[질문]API Gateway 적용시 가장 주의해야하는게 API Gateway를 내부 마이크로서비스와 결합하는과정에서 기존 SOA에서 ESB(Enterprise Service Bus)에서 발생한 문제점이 재발할수있는데 이런것을 예방하기위한 방법이 궁금합니다.
아직 답변이 없습니다