使用 NGINX 和 F5 分布式云 WAAP 实现多云 API 安全

问题不再是您是否在云中，而是您在多少个云中。 当今大多数企业认识到并不存在“一云适合所有”的解决方案，并已转向混合或多云架构。 根据F5 2023年应用战略状况报告数据，85%的企业运营着两种或两种以上不同架构的应用。

对于开发和 API 团队来说，这带来了很大的压力。 他们的任务是在复杂的分布式环境中大规模安全地交付 API。 连接不再简单地存在于客户端和后端服务之间，现在它们存在于部署在不同云、区域、数据中心或边缘位置的应用之间。 同时，每个 API 都必须满足组织的安全性和合规性要求，无论它部署在何处以及使用什么工具来交付和保护它。

在这些高度分布式的环境中保护 API 需要一组独特的功能和最佳实践。 我之前写过关于双管齐下 API 安全方法的重要性的文章：“左移”从一开始就构建安全性，以及“右移”，通过一套全局姿态管理实践。 在这篇博文中，我们将研究如何将该策略付诸实践，同时在云、本地和边缘环境中安全地交付 API。

混合和多云 API 安全参考架构

混合和多云架构具有许多明显的优势——尤其是在灵活性、可扩展性和弹性方面。 但它们又增加了额外的复杂性。 事实上，F5 的2023 年application战略状况报告显示，复杂性的增加是当今组织面临的最常见挑战。 第二个最常见的挑战？ 应用一致的安全性。

当今的问题是，某些安全解决方案（例如某些WAF ）缺乏 API 所需的上下文和保护。 同时，专用的 API 安全解决方案缺乏创建和执行策略来阻止攻击的能力。 您需要一个解决方案，将您的架构和技术视为涵盖发现、可观察性、管理和执行的互连堆栈。

实际上，API 安全性需要涵盖三个层级，以便在 API 流量穿越关键基础设施点时提供保护：

• 全球层– 针对机器人和 DoS 攻击的边缘保护，以及发现和可见性
• 站点层– 单个云、数据中心或边缘部署内的保护
• 应用层– 部署在 API 运行时附近的细粒度访问控制和威胁防护

以下参考架构概述了F5 分布式云服务和 F5 NGINX 如何协同工作，在多云和混合架构中提供全面的 API 保护：

在此参考架构中，F5 分布式云跨边缘、云和本地部署提供全球层级保护。 NGINX Plus与NGINX App Protect WAF集成到软件开发生命周期中以强制执行运行时安全性，从而在站点层和/或应用层提供细粒度的保护。

让我们看看该架构的每个组件提供的安全保护。

使用 F5 分布式云进行 API 发现和监控

首先，来自公共客户端的 API 流量会穿过部署在边缘的F5 分布式云 Webapplication和 API 保护 (WAAP) 。 至关重要的是，这为全球提供了针对DDoS 攻击、机器人滥用和其他漏洞的保护。 它还为进入不同云、内部数据中心和边缘部署的 API 流量提供了重要的全局可见性。

API 流量正在迅速增加，大多数 API 攻击会在数周甚至数月内缓慢展开。 在大量常规 API 请求和响应中查找恶意流量就像大海捞针。 为了解决这个问题，F5 分布式云使用人工智能(AI) 和机器学习 (ML) 来洞察 API 流量，包括 API 发现、端点映射以及主动学习和检测可能代表新兴威胁的异常。

作为应用和 API 安全的全球层，F5 分布式云 WAAP 具有以下优势：

• 自动 API发现——检测并映射 API，以全面了解您的生态系统，包括第三方和影子 API 的可见性、身份验证状态等。
• 敏感数据防泄露——检测、描述和屏蔽敏感数据，如社保号、信用号和其他个人身份信息（PII），以防止其泄露。
• 监控和异常检测——使用 AI 和 ML 工具持续检查和分析流量以检测异常和漏洞。
• 增强 API 可见性——观察流量如何在所有 API 端点间流动，以了解跨边缘 API、内部服务和第三方集成的连接性。
• 跨环境强制实施安全——通过强制实施架构验证、速率限制以及阻止不良或恶意流量来使用积极的安全模型。

要开始使用 F5 分布式云 WAAP，您可以申请F5 分布式云服务的免费企业试用版，其中包括 API 安全、机器人防御、边缘计算和多云网络。

使用 F5 NGINX 进行访问控制和运行时保护

一旦 API 流量流过全局层，它就会到达站点层和/或应用层。 虽然全局层通常由 IT 网络和安全团队管理，但站点层和应用层中的各个 API 由软件工程团队构建和管理。

在访问控制方面， API 网关是一种常见的选择，因为它使开发人员能够将一些最常见的安全需求转移到应用上方的共享基础设施层。 这减少了重复的努力（例如，让每个开发人员或团队构建自己的身份验证和授权服务）。

F5 NGINX 管理套件 API 连接管理器使平台工程和 DevOps 团队能够提供对共享基础设施（例如 API 网关和开发人员门户）的访问，而无需开发人员填写请求单和其他繁琐的系统。

使用 API Connectivity Manager，您可以设置安全策略以将 NGINX Plus 配置为 API 网关，并配置和监控 NGINX App Protect WAF 策略。 它们共同提供关键 API 运行时保护，包括以下功能：

• 强制访问控制——管理对 API 端点的细粒度访问（身份验证和授权），并创建访问控制列表以根据 IP 地址或 JWT 声明允许或拒绝流量。
• 加密和屏蔽敏感数据——使用 mTLS 和端到端加密保护 API 之间的通信，并检测和屏蔽 API 响应中的信用卡号等敏感数据。
• 检测并阻止威胁- 超越OWASP API 安全前 10 名的保护，提供针对超过 7,500 个威胁活动和攻击特征的高级保护。
• 大规模监控 WAF 和 API 流量– 使用 NGINX App Protect WAF 可视化所有 API 网关中的 API 流量，以检测误报和潜在威胁。

您可以开始NGINX API 连接堆栈的 30 天免费试用，以访问 NGINX 管理套件及其 API 连接管理器、实例管理器和安全监控模块，以及作为 API 网关的 NGINX Plus 和用于 WAF 和 DoS 保护的 NGINX App Protect。

结论

NGINX 在云和本地数据中心环境中提供了出色的运行时保护。 与 F5 分布式云结合使用时，无论相关应用部署在何处，安全和平台工程团队都可以持续查看 API 端点。 F5 分布式云和 NGINX 共同提供了完全的灵活性，您可以按照需要的任何方式构建和保护您的架构。 

其他资源

• 解决方案简介： 使用 F5 NGINX 实现现代applications的 API 安全性
• 技术白皮书： 具有全面 API 安全性的 F5 分布式云 WAAP
• 电子书： API 策略： 平台工程领导者的最佳实践
• 电子书： 安全即代码
• 博客： 使用 API 安全的基本工具和最佳实践预防 API 攻击