Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Paladin: A Policy Framework for Securing Cloud APIs by Combining Application Context with Generative AI

Shriti Priya, Julian James Stephen|arXiv (Cornell University)|2026. 03. 10.
Security and Verification in Computing인용 수 0
한 줄 요약

팔라딘은 애플리케이션에 의존하지 않는 정책 프레임워크를 제안하며, 대형 언어 모델을 사용해 API 요청의 의미를 추출하고 클라우드 프록시에서 애플리케이션 간 보안 정책을 시행합니다. 정책 식별 정확도는 약 81%, 오버헤드는 약 14%입니다.

ABSTRACT

Enterprises and organizations today increasingly deploy in-house, cloud based applications and APIs for internal operations or external customers. These deployments deal with increasing number of threats, despite security features offered by cloud service providers. This work focus on threats that exploit application layer vulnerabilities of cloud workloads. Prevention and mitigation measures against such threats need to be cognizant of application semantics, posing a hurdle to existing solutions. In this work, we design and implement a security framework that allow cloud workload administrators to easily define and enforce policies capable of preventing (i) unrestricted resource consumption, (ii) unrestricted access to sensitive business flows, and (iii) broken authentication. Our framework, Paladin, leverages large language models to extract sufficient semantic meaning from API requests to provide cloud administrators with an application agnostic policy definition interface. Once defined, requests are automatically matched with relevant policies and enforced by high performance proxies. Evaluations with our prototype show that such a framework has broad applicability across applications, good policy identification accuracy, and reasonable overheads, making it substantially easier to define and enforce cross application policies.

연구 동기 및 목표

  • 개별 애플리케이션의 시맨틱을 넘어서는 애플리케이션 간 API 보안 정책의 필요성을 제시한다.
  • 여러 API에 걸쳐 정책을 정의하고 시행할 수 있도록 관리자가 설계할 수 있는 클라우드 플랫폼 수준의 프레임워크를 설계한다.
  • 정책 시행을 위한 API 요청에서 시맨틱 의미를 추출하기 위해 대형 언어 모델을 활용한다.
  • 팔라딘의 실용성과 오버헤드를 입증하는 구현 및 평가를 제공한다.

제안 방법

  • TLS 종료 및 인라인 정책 시행을 갖춘 프록시 기반 보안 프레임워크로 팔라딘을 소개한다.
  • 비즈니스 및 기술 흐름 태그로 HTTP 요청을 자동으로 태깅하도록 LLM을 사용하여 추상적이고 애플리케이션에 구애받지 않는 정책 정의를 가능하게 한다.
  • API 전반에서 의미적으로 동등한 용어를 기반으로 요청 매개변수에서 정책 변수를 추출하여 경계 조건을 시행한다(예: numResults, count).
  • 히스토리 인식 및 자원 인식 정책을 가능하게 하기 위해 요청 컨텍스트와 컨테이너 컨텍스트를 유지한다.
  • 사전 및 사후 태깅 정책 검사를 지원하고 단일 및 병렬 프롬프트 모드를 포함한 다중 태깅 모드를 지원하는 정책 정의 인터페이스를 제공한다.
  • 태깅 플러그인에 대해 Envoy와 WebAssembly를 사용하는 Go 기반 프로토타입을 구현하고, 태깅 추론에 사용할 LLM 프롬프트를 기술한다.
(a) Overview
(a) Overview

실험 결과

연구 질문

  • RQ1API-특정 지식에 의존하지 않고도 애플리케이션 간 정책 프레임워크가 계층-7 위협(리소스 소비의 무제한, 민감한 흐름에 대한 무제한 접근, 인증 실패)을 시행할 수 있는가?
  • RQ2LLM이 API 요청에서 시맨틱 의미를 얼마나 효과적으로 도출하여 이질적인 API 전반에 걸쳐 재사용 가능한 정책 변수와 태그를 생성할 수 있는가?
  • RQ3실제 클라우드 배포에서 팔라딘의 정책 식별 및 시행의 성능 오버헤드와 정확도는 어느 정도인가?
  • RQ4팔라딘의 요청/상황(context) 아키텍처가 다양한 클라우드 워크로드에 걸쳐 확장 가능한 애플리케이션-무관 보안을 가능하게 하는가?

주요 결과

  • 집행을 위한 요청 특성화에서 81%의 정책 식별 정확도.
  • 평가에서 약 14%의 오버헤드가 관찰되었다.
  • 팔라딘은 여러 애플리케이션과 API에 걸쳐 광범위하게 적용 가능성을 보여준다.
  • 이 프레임워크는 애플리케이션-무관 정책 언어와 태깅 메커니즘을 제공하여 정책 정의와 시행을 가속화한다.
  • LLMs는 정책 시행을 위해 요청에서 시맨틱 정보를 그룹화하고 추출하는 데 사용되며, 기존 보안 컨트롤을 대체하는 것이 아니다.
  • 프로토타입 구현은 Envoy와 WebAssembly를 팔라딘과 통합하는 실용성을 보여준다.
(b) Proxy components
(b) Proxy components

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.