博客

通过 Web 应用和 API 保护 (WAAP) 解决方案解决现代 API 安全风险和挑战

Ian Dinno 缩略图
伊恩·迪诺
2023 年 7 月 21 日发布

现代应用程序需要一组先进的功能才能充分保护其整个威胁面。 Web 应用防火墙(WAF) 仍然发挥着作用,但随着应用程序的发展和 API 的持续存在,需要更多措施来监控、跟踪和保护整个应用程序界面,包括不断增长的 API 连接网络。

WAF 在支持 API 安全方面的一些潜在限制

虽然 WAF 是API 安全的宝贵工具,但并非所有 WAF 都是平等的,有些 WAF 在保护 API 方面存在局限性。 这些限制可能包括:

  • 处理复杂的 API 授权: API 通常采用比 Web应用中使用的传统基于会话的身份验证更为复杂的授权机制。 WAF 可能难以处理复杂的授权模式,例如 OAuth 2.0、JWT(JSON Web 令牌)或基于自定义令牌的身份验证。
  • 分析协议和有效载荷变化: API 可以利用具有不同数据结构和模式的各种协议(REST、GraphQL、SOAP)和有效负载格式(JSON、XML)。 WAF 可能对解析和验证这些变化的支持有限,这可能会导致威胁检测中的可见性有限和更多的误报或漏报。
  • 速率限制: API 速率限制对于防止滥用行为和 API 资源耗尽至关重要。 由于 API 请求的动态特性以及基于 API 特定参数的速率限制要求,WAF 可能难以准确地限制 API 流量的速率。
  • 对特定于 API 的攻击的见解: API 容易受到特定攻击媒介的攻击,例如参数污染、特定于 API 的注入攻击或 API 滥用场景。 WAF 可能没有专门的规则或启发式方法来有效检测和缓解这些针对 API 的攻击。
  • API 管理功能: WAF 主要关注安全方面,可能缺乏 API 治理、文档、版本控制和开发人员门户功能所需的全面 API 管理功能。

增强 WAF 以实现 API 安全

值得注意的是,虽然 WAF 仍然是应用程序安全的基石并且是保护 API 的基础层,但还有更多必要措施。 出于多种原因,组织正在考虑和实施各种方法——成本、复杂性、对如何充分保护 API 的误解和误解等等。 许多组织正在使用 API 网关增强其现有的 WAF,以创建、管理和发布其 API,同时执行使用策略并控制访问。 这是一个很好的起点,但在 API 安全态势方面仍然存在很多漏洞。

那么,下一步是什么? 如何处理未知/影子 API? 那么细粒度的 API 端点控制又如何呢? 那么您不一定能控制的第三方 API 又怎么样呢? 让我们接受未知的挑战……影子 API。 这些可以引导组织去寻找专门的 API 发现和漏洞工具,以添加到组合中,以覆盖所有 API 基础。

你知道这是怎么回事吗? 事情很快变得非常复杂。 一些拥有预算、专业知识和资源的组织更喜欢采用最佳方法,但对于大多数组织而言,用拼凑不同的解决方案来覆盖 API 安全威胁面只会使最大的安全挑战之一即复杂性持续存在。 添加更多的点解决方案很快就会变得难以维持,更不用说使有效的监控和可视性变得相当困难。

WAAP 如何提供帮助 – 提供全面的应用和 API 安全性

输入Web 应用程序和 API 保护(WAAP)解决方案。 为什么要堆叠更多独立的技术(可能来自不同的供应商),而这些技术却无法将见解与您已经很复杂的应用安全生态系统紧密关联? 因此 WAAP 产品不断演变(和发展)。 现代 WAAP 解决方案可以满足现代、基于微服务、多云和混合应用环境的安全需求,将传统 WAF 中的功能与监控和保护 API 至关重要的专门功能相结合——所有这些都包含在一个整合的解决方案中(通常以 SaaS 形式交付)。

关于 WAAP 及其监控和保护 API 的能力的常见误解

人们对 WAAP 存在误解,认为它们缺乏提供全面 API 安全性所需的功能。 您可能听说过一些误解,包括 WAAP 无法随着时间的推移监控和跟踪 API 并识别异常,它们缺乏高级学习能力来跟踪新的和变化的应用程序和 API 端点,或者它们无法跟踪和辨别最终用户意图。

这些都根本不是事实。 许多现代 WAAP 解决方案(例如F5 分布式云 WAAP)都是使用 AI/ML 功能开发的,这些功能可为关键 API 安全功能提供支持,例如 API 自动发现、模式实施、用户和 API 异常检测等。 与许多依赖带外分析的仅限 API 的安全点产品不同,WAAP 解决方案的流量分析以及应用程序和 API 流量的阻止都在单个内联解决方案中进行。 无需将数据传输或镜像到单独的解决方案(或多个解决方案),因为这会延迟威胁的分析、检测和缓解。

要了解有关F5 分布式云 WAAP及其 API 安全功能的更多信息,请访问我们的网站并查看该解决方案的简短演示