/* */ F5란? F5의 API 디스커버리 및 보안 기술. F5 API 보안 구성 아키텍처 (다이어그램). F5 API 디스커버리 활용법
본문 바로가기
IT정보

F5란? F5의 API 디스커버리 및 보안 기술. F5 API 보안 구성 아키텍처 (다이어그램). F5 API 디스커버리 활용법

by 나의 정보 2025. 6. 12.

1. F5란? 

F5는 네트워크 보안 및 애플리케이션 딜리버리 분야에서 세계적으로 널리 사용되는 솔루션을 제공하는 미국의 IT 기업입니다. 웹 애플리케이션 방화벽(WAF), 로드 밸런싱, 트래픽 관리, API 보안, 제로 트러스트 아키텍처 등 다양한 기능을 갖춘 제품들을 제공합니다. 최근에는 클라우드 네이티브 보안 및 API 보호 영역에서 활동을 강화하고 있으며, 특히 숨겨진 API(Shadow API) 식별 및 보호에 주목받고 있습니다.

F5 Networks는 애플리케이션의 가용성, 보안, 성능, 확장성을 최적화하는 솔루션을 제공하는 기업입니다.
대표적인 제품군에는 다음이 포함됩니다.

  • BIG-IP 시리즈: 로드 밸런싱, SSL 오프로드, 웹 애플리케이션 방화벽(WAF) 등의 기능을 포함
  • NGINX: 경량 웹서버이자 API Gateway로 클라우드 네이티브 환경에서 많이 활용
  • F5 Distributed Cloud Services (XC): API 보안, 제로 트러스트, 클라우드 워크로드 보호 등 다양한 SaaS 기반 서비스 제공
    F5란? F5의 API 디스커버리 및 보안 기술
    F5란? F5의 API 디스커버리 및 보안 기술
반응형

 

2. F5의 API 디스커버리 및 보안 기술

오늘날 기업은 수많은 API를 사용하고 있지만, 이 중 일부는 문서화되지 않고 숨겨져 있어 보안 위험을 초래합니다. F5는 이러한 Shadow API 또는 Zombie API를 식별하고 보호하는 기술을 제공합니다.

1.  API 디스커버리 (API 탐지)

  • 트래픽 분석 기반: F5는 네트워크 트래픽을 분석하여 문서화되지 않은 API를 식별합니다.
    • HTTP 요청/응답 패턴, URI 구조, 메서드(GET, POST 등), 사용자 에이전트 등을 실시간 모니터링
    • 머신러닝 기반으로 "정상적인 API 호출"과 "비정상 패턴"을 구분
  • 자동 API 인벤토리화:
    • API 엔드포인트 목록 자동 수집
    • 각 API별 버전, 사용 빈도, 호출하는 클라이언트 정보 등을 수집하여 가시성 확보

2.  API 보안

  • OWASP API Top 10 대응: 인증 우회, 과도한 데이터 노출, 리소스 제한 우회 등 다양한 공격을 탐지하고 차단
  • API Rate Limiting & Throttling: API 남용 방지
  • JWT, OAuth 등 인증/인가 정책 적용
  • 보안 정책 자동화: 사용자 정의 정책뿐만 아니라 머신러닝 기반 이상징후 탐지 기반 정책까지 지원
  • API Gateway 연동: NGINX나 F5 XC API Gateway와 연동하여 실시간 보안 강화

#API보안 #F5보안 #ShadowAPI탐지 #API디스커버리 #NGINX보안설정#OWASPAPITop10 #APIGateway보안 #API보안정책 #F5DistributedCloud #클라우드API보안

3. 실제 적용 시나리오

시나리오 설명

 

시나리오 설명
내부 개발자가 만든 테스트용 API가 운영 환경에 노출됨 F5가 이를 자동으로 식별하고 알림을 보내 보안팀이 차단 조치 가능
API 버전 관리 실패로 구버전이 여전히 외부에서 접근 가능 F5의 보안 시그니처 및 트래픽 가시성 기능으로 식별 가능
외부 공격자가 숨겨진 API를 이용해 민감 정보를 추출 F5 XC가 요청 패턴을 분석해 공격을 탐지 및 차단
 

🧩 요약

  • F5는 API 보안의 시작 단계인 "디스커버리(탐지)"부터 인증, 접근 제어, 이상 행위 차단까지 통합 제공
  • 숨겨진 API로 인한 Shadow IT 리스크를 줄이고, 모든 API 자산에 대한 정확한 가시성과 통제를 확보할 수 있음
  • F5 Distributed Cloud API Security 또는 NGINX App Protect 등의 제품을 통해 적용 가능

4. F5 API 보안 구성 아키텍처 (다이어그램)

  [사용자/클라이언트]
           │
           ▼
  ┌─────────────────┐
  │  DNS / Firewall │
  └─────────────────┘
           │
           ▼
  ┌──────────────────────────────┐
  │    F5 Distributed Cloud      │
  │  API Security (또는 WAF)     │
  └──────────────────────────────┘
           │        ▲
   (트래픽 미러링/감사)     │
           ▼        │
  ┌──────────────────────────────┐
  │    API Discovery Engine      │ ◀───── ML 기반 자동 탐지
  └──────────────────────────────┘
           │
           ▼
  ┌──────────────────────────────┐
  │   API Gateway (NGINX 등)     │
  └──────────────────────────────┘
           │
           ▼
  ┌──────────────────────────────┐
  │     애플리케이션 서버/API     │
  └──────────────────────────────┘

✅ 핵심 포인트: F5는 API 트래픽을 분석하여 Shadow API를 실시간 탐지하고, 적절한 인증 및 보안 정책을 Gateway 수준에서 적용함.

5. F5 설정 예시 (NGINX + App Protect WAF)

💡 NGINX 설정 파일 예시 (nginx.conf)

http {
    include       mime.types;
    default_type  application/octet-stream;

    # App Protect 로그 설정
    app_protect_enable on;
    app_protect_security_log_enable on;
    app_protect_policy_file "/etc/nginx/policies/api_policy.json";

    server {
        listen 443 ssl;
        server_name api.example.com;

        ssl_certificate     /etc/ssl/certs/cert.pem;
        ssl_certificate_key /etc/ssl/private/key.pem;

        location / {
            proxy_pass http://backend_api;
            app_protect_enable on;
            app_protect_security_log_enable on;
        }
    }
}

📄 App Protect 정책 파일 예시 (api_policy.json)

{
  "policy": {
    "name": "API-Security-Policy",
    "template": {
      "name": "POLICY_TEMPLATE_NGINX_BASE"
    },
    "applicationLanguage": "utf-8",
    "enforcementMode": "blocking",
    "apiProtection": {
      "enable": true,
      "openApiFiles": [
        {
          "link": "https://api.example.com/swagger.json"
        }
      ]
    },
    "signatureSettings": {
      "signatureStaging": false
    }
  }
}

6. API 보안 정책 템플릿 (예시)

정책 항목 설정 내용 설명
정책 항목 설정 내용 설명
인증 OAuth2 / JWT 필수 토큰 누락 시 요청 차단
속도 제한 IP당 초당 20요청 제한 DoS 방지
사용자 구분 IP, 토큰 기반 식별 동시 요청 수 제어 가능
CORS 설정 허용 도메인 명시 Cross-origin 방지
허용 메서드 GET, POST만 허용 PUT, DELETE 등 차단
파라미터 검증 길이 및 타입 제한 SQL Injection 방지
JSON 스키마 검사 OpenAPI 기반 검사 구조적 비정상 탐지
응답 헤더 보호 Server, X-Powered-By 제거 정보 노출 방지
공격 서명 탐지 OWASP API Top 10 대응 Injection, Broken Auth 등 차단

 

7. F5 API 디스커버리 활용법

  1. 트래픽 미러링 설정: 운영 트래픽을 F5 Distributed Cloud로 복사
  2. API 목록 자동 수집: GUI 또는 API를 통해 엔드포인트/스키마 자동 인벤토리화
  3. 보안 상태 시각화: 어떤 API가 미보호 상태인지 대시보드에서 확인 가능
  4. 정책 적용: 자동 또는 수동으로 인증·허용·차단 정책 배포

결론

F5는 단순히 API Gateway 기능을 넘어서, 다음을 통합적으로 지원합니다:

  • 자동 API 탐지 + 분류
  • OWASP 기반 보안정책 적용
  • WAF + 인증 연동
  • 클라우드·온프레미스 통합 관리

'IT정보' 카테고리의 다른 글

Microsoft Certified Professional(MCP) 자격증, 지금 시작해야 하는 5가지 이유  (6) 2025.06.19
MCP(Model Context Protocol)의 핵심 개념부터 실제 구현까지. AI 개발자가 알아야 할 MCP 활용법과 장점. 초보자도 쉽게 이해할 수 있는 완벽 가이드  (2) 2025.06.19
RAG 연동 LLM 챗봇 구축부터 서빙까지: 실무 에러 핸들링 팁  (1) 2025.06.12
클라우드 LLM 서빙 방식 선택 기준: 비용·제어권·보안 중심 전략  (2) 2025.06.12
LLM서비스. AI 서비스. API 쓸까 직접 만들까? API vs 직접 구축 vs 클라우드 서빙. 클라우드 기반 LLM 서빙 방식 비교  (4) 2025.06.12

관련글

티스토리툴바