博客

增强 AWS API 网关安全性: API 管理的最佳实践

Dave Morrissey 缩略图
戴夫·莫里西
2024 年 4 月 9 日发布

API 使集成服务、连接数据或进行更新变得更加容易,这就是它们在现代应用中如此流行的原因。 随着各组织不断对其应用程序组合进行现代化改造,到 2031 年,使用的 API 数量预计将超过 10 亿。1 跟踪(更不用说保护)所有这些 API 是一项挑战,导致组织在其环境中处理大量不受管理的“影子”API。

不幸的是,攻击者已经意识到 API 通常比应用更容易成为攻击目标,根据 F5 分析,90% 的基于 Web 的网络攻击都以 API 端点为目标。2 非托管 API 会产生特定风险,因为您无法保护看不到的内容。 许多 API 是由不同的团队甚至与应用程序构建者不同的公司构建的,从而限制了对潜在风险的可见性。

浏览 API 和共享责任模型

有效管理和保护大量API需要多层解决方案。 对于AWS用户,Amazon API Gateway 是一项完全托管的服务,可让开发人员创建、发布、维护、监控和保护任何规模的 API。 API Gateway 支持各种后端集成,实现容器化、无服务器和传统的基于实例的工作负载。

然而,安全是 AWS 及其客户共同的责任。 虽然 AWS 负责保护基础设施和服务,但客户也必须保护他们的数据和应用。

AWS 建议遵循以下安全设计原则。3

  • 减轻分布式拒绝服务(DDoS) 攻击的影响
  • 使用Web应用防火墙(WAF) 实施检查和保护
  • 通过近乎实时的监控实现审计和可追溯性
  • 自动化安全最佳实践
  • 在所有层面应用安全性,实现纵深防御

使用 F5 保护 AWS 上的 API

作为 AWS 合作伙伴,F5 提供与 Amazon API Gateway 配合使用的安全性来保护您的应用程序和 API。 F5 BIG-IP Advanced WAF(API 安全 - 新一代 WAF)F5 Distributed Cloud WAF可以识别试图到达 Amazon API Gateway 或您的 API 服务的恶意流量。 您可以在 Amazon API Gateway 前面或后面部署 WAF。 但是,将其部署在网关前面还有额外的好处,可以防止恶意 API 调用,从而避免造成金钱损失。

F5 WAF 解决方案使用行为分析来准确识别威胁并提供第 7 层 DoS 缓解、应用层加密和威胁情报服务。 部署 WAF 可保护您的应用和 API 免受攻击,包括 OWASP Top 10 中的攻击。

API 保护的另一个重要要求是发现。 将F5 分布式云 API 安全与您的 CI/CD 管道集成,以捕获 API 更改,而不会中断开发过程。 上传现有的 API 模式以强制执行适当的 API 行为并根据应用程序到应用程序和 API 到 API 模式自动生成策略。 F5 分布式云 API 安全还可以控制连接并监控 API 流量中的异常行为,从而阻止可疑活动。

机器人对 API 安全构成了另一大威胁OWASP API 安全十大威胁中的几个都是很容易被机器人利用的弱点,例如不受限制的资源消耗或破坏的身份验证。 添加F5 分布式云机器人防御功能可以使人类专家和机器学习相结合,检测恶意机器人流量,同时允许合法用户和有用的机器人进入。

获得多层 API 安全性

F5 通过F5 分布式云 Web 应用和 API 保护(WAAP) 提供保护 API 所需的一切,从而提供统一管理的多层安全性。 分布式云WAAP为您的应用程序和 API 带来一致的安全性,无论它们部署在何处 - 在 AWS、其他公共或私有云、在本地还是在边缘。

AWS Marketplace上查找 F5 分布式云 WAAP,它可让您轻松添加保护并维护共享责任模型的最终目标。

欲了解有关 F5 AWS 解决方案的更多信息,请访问f5.com/aws

来源

1. F5,持续 API 蔓延,2021 年 11 月

2. F5, F5 正在向左移动以保护 API ,2024 年 2 月

3. 亚马逊, Amazon API Gateway 安全概述: AWS 白皮书, 2023