클라우드용 Microsoft Defender를 사용하여 고급 API 보안 기능 사용

  • 아티클

적용 대상: 개발자 | 기본 | 기본 v2 | 표준 | 표준 v2 | 프리미엄

클라우드용 Microsoft Defender 기능인 API용 Defender는 Azure API Management에서 관리되는 API에 대한 전체 수명 주기 보호, 탐지 및 응답 범위를 제공합니다. 이 서비스는 보안 실무자가 중요 비즈니스용 API에 대한 가시성을 확보하고 보안 태세를 이해하고 취약성 수정 우선 순위를 지정하며 몇 분 내에 활성 런타임 위협을 탐지할 수 있도록 지원합니다.

API용 Defender 기능은 다음과 같습니다.

  • 외부, 미사용 또는 인증되지 않은 API 식별
  • 중요한 데이터를 수신하거나 응답하는 API 분류
  • 구성 권장 사항을 적용하여 API 및 API Management 서비스의 보안 태세 강화
  • OWASP API 상위 10개 취약성의 비정상적이고 의심스러운 API 트래픽 패턴 및 익스플로잇 탐지
  • 위협 수정 우선 순위 지정
  • SIEM 시스템 및 Defender 클라우드 보안 태세 관리와 통합

이 문서에서는 Azure Portal을 사용하여 API Management 인스턴스에서 API용 Defender를 사용하도록 설정하고 온보딩된 API에 대한 보안 권장 사항과 경고의 요약을 보는 방법을 보여줍니다.

계획 제한 사항

  • 현재 API용 Defender는 REST API만 탐지하고 분석합니다.
  • API용 Defender는 현재 API Management 자체 호스트 게이트웨이를 통해 노출되거나 API Management 작업 영역을 통해 관리되는 API를 온보딩하지 않습니다.
  • 다중 지역 배포의 보조 지역에서는 일부 ML 기반 탐지와 보안 인사이트(데이터 분류, 인증 검사, 사용되지 않는 API 및 외부 API)가 지원되지 않습니다. API용 Defender는 로컬 데이터 파이프라인을 사용하여 해당 배포에서 지역 데이터 보존과 향상된 성능을 보장합니다. 

필수 조건

  • Azure 구독에 하나 이상의 API Management 인스턴스가 있습니다. API용 Defender는 Azure 구독 수준에서 사용되도록 설정됩니다.
  • 하나 이상의 지원되는 API를 API Management 인스턴스로 가져와야 합니다.
  • API용 Defender 계획을 사용하도록 설정하는 역할 할당입니다.
  • 보호하려는 관련 Azure 구독, 리소스 그룹 또는 API Management 인스턴스에 대한 기여자 또는 소유자 역할 할당

API용 Defender에 온보딩

API용 Defender에 API 온보딩은 구독에 API용 Defender 계획을 사용하도록 설정하고 API Management 인스턴스에서 보호되지 않은 API를 온보딩하는 2단계 프로세스입니다.  

더 많은 API 보안 인사이트와 인벤토리 환경을 사용할 수 있는 클라우드용 Defender 인터페이스에서 직접 API용 Defender에 온보딩할 수도 있습니다.

구독에 API용 Defender 계획 사용

  1. 포털에 로그인하고 API Management 인스턴스로 이동합니다.

  2. 왼쪽 메뉴에서 클라우드용 Microsoft Defender를 선택합니다.

  3. 구독에서 Defender 사용을 선택합니다.

    포털에서 Defender for API를 사용하도록 설정하는 방법을 보여 주는 스크린샷.

  4. Defender 계획 페이지에서 API 계획에 켜기를 선택합니다.

  5. 저장을 선택합니다.

보호되지 않는 API를 API용 Defender에 온보딩

주의

API를 API용 Defender에 온보딩하면 API Management 인스턴스의 컴퓨팅, 메모리 및 네트워크 사용률이 증가할 수 있으며 극단적인 경우에는 API Management 인스턴스가 중단될 수 있습니다. API Management 인스턴스가 높은 사용률로 실행되는 경우 모든 API를 한 번에 온보딩하지 마세요. API를 점진적으로 온보딩하는 동시에 인스턴스 사용률(예: 용량 메트릭 사용)을 모니터링하고 필요에 따라 스케일 아웃하여 주의해야 합니다.

  1. 포털에서 API Management 인스턴스로 돌아갑니다.

  2. 왼쪽 메뉴에서 클라우드용 Microsoft Defender를 선택합니다.

  3. 권장 사항에서 API용 Defender에 온보딩해야 하는 Azure API Management API를 선택합니다. 포털의 Defender for API 권장 사항 스크린샷.

  4. 다음 화면에서 권장 사항에 대한 세부 정보를 검토합니다.

    • 심각도
    • 보안 발견 항목 새로 고침 간격
    • 설명 및 수정 단계
    • 정상(API용 Defender에 온보딩됨), 비정상(온보딩되지 않음) 또는 해당되지 않음으로 분류된 영향을 받는 리소스와 API Management의 연결된 메타데이터

    참고 항목

    영향을 받는 리소스에는 구독에 있는 모든 API Management 인스턴스의 API 컬렉션(API)이 포함됩니다.

  5. 비정상 리소스 목록에서 API용 Defender에 온보딩하려는 API를 선택합니다.

  6. 수정을 선택한 다음, 리소스 수정을 선택합니다. 포털에서 비정상 API를 온보딩하는 스크린샷.

  7. 알림에서 온보딩된 리소스의 상태를 추적합니다.

참고 항목

API용 Defender에서 API를 온보딩한 후 첫 번째 보안 인사이트를 생성하는 데 30분이 걸립니다. 그 후 보안 인사이트는 30분마다 새로 고쳐집니다.

보안 적용 범위 보기

API Management의 API를 온보딩하면 API용 Defender에서 보안 인사이트를 빌드하고 위협을 모니터링하는 데 사용되는 API 트래픽을 수신합니다. API용 Defender는 위험하고 취약한 API에 대한 보안 권장 사항을 생성합니다.

API Management instance 메뉴에서 클라우드용 Microsoft Defender를 선택하여 온보딩된 API에 대한 모든 보안 권장 사항과 경고의 요약을 볼 수 있습니다.

  1. 포털에서 API Management 인스턴스로 이동하고 왼쪽 메뉴에서 클라우드용 Microsoft Defender를 선택합니다.

  2. 권장 사항보안 인사이트 및 경고를 검토합니다.

    포털의 API 보안 인사이트 스크린샷.

수신된 보안 경고의 경우 API용 Defender는 필요한 분석을 수행하고 API와 연결된 잠재적 익스플로잇이나 변칙의 유효성을 검사하는 데 필요한 단계를 제안합니다. 보안 경고의 단계를 수행하여 API를 수정하고 정상 상태로 반환합니다.

API용 Defender에서 보호된 API 오프보딩

포털에서 클라우드용 Defender를 사용하여 API용 Defender 보호에서 API를 제거할 수 있습니다. 자세한 내용은 API용 Defender 배포 관리를 참조하세요.

다음 단계