检测和在线执行是 F5 分布式云 API 安全的重要组成部分,可增强对 API 行为的控制,减轻恶意或不必要的活动(包括自动威胁),并防止敏感数据的泄露。
检测漏洞并针对 API、其支持的服务以及其访问的系统和数据实施关键保护措施
在当今的数字环境中,API 是现代应用的支柱,支持服务之间的集成和数据交换。 随着组织越来越依赖 API 来增强功能和提供创新解决方案,不受保护的 API 所带来的风险呈指数级增长。 网络犯罪分子积极瞄准这些端点,这些端点支持关键业务功能并充当进入组织的门户,利用漏洞访问敏感数据、破坏服务、滥用业务逻辑进行欺诈以及执行攻击 - 包括拒绝服务 (DoS)、注入和其他威胁。
为了保护数字资产并维护客户信任,组织必须优先考虑 API 保护。 为 API 实施强大的安全措施不仅可以减轻日益增长的威胁面带来的风险,还可以确保受监管行业的合规性。 API 安全性可提高组织的数字服务、基础设施和客户体验的弹性。
API 安全解决方案必须包括发现、漏洞检测、监控以及针对机器人和其他威胁的实时缓解。 在线执法至关重要。 期望组织停止开发并立即修复 API 代码中的每个漏洞,或者停止代码发布流程直到代码完善,这是不合理的。 这就是在线 API 检测和保护功能发挥作用的地方。
在线执行,控制、监控和保护 API 端点
强大的 API 安全堆栈依赖于多层执行和控制机制来确保全面的保护。 OWASP API 安全十大重点介绍了广泛的威胁,包括 API 遇到的不同漏洞和安全风险。 这包括试图泄露或窃取数据、消耗或滥用资源(例如 DoS 攻击)的攻击,以及标准注入尝试、访问和身份验证中的漏洞以及安全配置错误。 这些漏洞和 API 的独特属性需要专门的检测和保护,因为它们暴露了关键端点,而这些端点是自动攻击和恶意行为者的主要目标——增加了未授权访问关键系统和敏感数据的风险。 如果没有正确执行和持续监控,复杂的身份验证和授权机制可能会进一步增加安全风险。 此外,API 通常处理动态业务逻辑并与第三方服务集成,因此需要采取额外的安全措施来防御 API 独有的各种威胁和漏洞。
借助 F5® 分布式云 API 安全,组织可以访问一组强大的实施功能,旨在维护其 API 端点的安全。 分布式云 API 安全将全局 API 发现与在线检测以及 Web 应用程序和 API 保护(WAAP)的实施功能相结合。 API 容易受到与其支持的应用相同类型的注入攻击,包括 SQL 和命令注入等注入缺陷。 这就是为什么传统的 Web应用防火墙 (WAF) 功能在保护现代应用程序及其驱动的 API 方面仍然发挥着重要作用。 F5 分布式云服务采用 F5 的核心 WAF,配备强大的攻击签名引擎,包含超过 8,500 个 CVE(常见漏洞和暴露)签名,以及 F5 实验室识别的已知漏洞和技术,为 API 保护抵御已知威胁奠定了坚实的基础。
与任何网络或计算资源一样,API 容易受到滥用和 DoS 攻击。 F5 分布式云服务提供第 7 层 DoS 保护和速率限制功能,以维护 Web应用和 API 的服务可用性。 组织可以精确控制 API 端点连接和请求速率,识别、监控和完全阻止特定客户端和连接或应用自定义阈值。 这种对 API 连接和请求的精细控制可以在单个 API 级别或整个域中实施。
缓解机器人和自动流量是任何综合 API安全策略的重要组成部分。 借助分布式云服务,组织可以访问 F5 分布式云机器人防御,从而提供针对自动化威胁的强大保护。 对手使用机器人直接利用十大 OWASP API 安全漏洞中的三个:身份验证失败、资源消耗不受限制以及对敏感业务流的访问不受限制。 前十名中的其他七项漏洞(包括安全配置错误、库存管理不善和授权中断等漏洞)与机器人间接相关:攻击者依靠机器人有效地发现并快速利用这些漏洞。 许多 API 端点(例如登录、结账、信用卡验证和预订)特别容易受到机器人的攻击。
此外,分布式云服务提供先进的机器学习 (ML) 和行为分析,以持续跟踪和监控 API 端点。 此功能使组织能够确定 API 行为的基准、验证身份验证状态以及随时间推移的 API 使用情况的可视化,从而简化通信模式的检测以及正常行为与异常行为的关联。 随着 API 的发展,这种方法可以帮助组织识别和处理可疑活动,包括 API 通信中敏感数据和个人身份信息 (PII) 的泄露。
敏感数据通常会在 API 中不知不觉或无意地暴露或传输,因此必须识别 Web 应用程序和 API 端点(潜在的 PII 和其他敏感数据可能面临风险),以便保护数据并防止潜在的泄露。 分布式云 API 安全使组织能够控制其 API 环境,并提供对可能通过其 Web 应用程序和 API 暴露的敏感数据的可见性。
组织可以轻松配置敏感数据策略来发现、标记和报告其 API 中暴露的关键数据。 这包括识别常见 PII 数据(包括信用卡号、实际地址和电子邮件地址以及电话号码)的基本策略、可应用于与 20 多个关键合规框架(例如 PCI-DSS、HIPAA、GDPR、SOC2 等)相关的数百种预定义数据类型的特定合规框架,甚至特定组织独有的自定义敏感数据。 该服务可以直接从代码存储库和流量分析中自动发现和记录组织的 API,为每个单独的 API 的每个端点提供详细的可见性。
端点详细信息是根据每个 API 提供的——提供对漏洞的关键见解,并按严重程度排序。 此外,这些关键见解包括描述、证据和补救指导。 迅速采取行动,使用新的 API 保护规则来限制或阻止 API 和数据,或控制 API 行为。
分布式云 API 安全还具有自定义敏感数据检测器,使用户能够定义和搜索可能指示 API 请求和响应中的其他敏感数据类型的不常见或独特模式。 此功能可用于搜索需要检测和保护的独特、组织特定数据,持续监控 API 流量以识别无意泄漏或可疑活动。
除了这种检测能力之外,分布式云服务还提供多种方式(包括敏感数据屏蔽和泄漏检测能力)来帮助组织保护 API 中识别的敏感数据。 这使得组织能够建立 API 数据保护策略,定义如何在 API 响应中处理数据以限制、阻止或屏蔽。 控制 API 内数据暴露和屏蔽的策略可以轻松应用于特定的 API 端点、一组端点、特定路径或整个域,从而确保即使攻击者获得给定 API 流量的访问权限,敏感数据仍然是安全且难以理解的。 除了屏蔽功能外,该服务还包括对所有 API 的持续监控,并分析所有传输的数据,以帮助检测和报告 API 响应中的无意泄漏或可疑活动。
在处理访问和授权威胁时,分布式云 API 安全通过提供对 API 行为、身份验证和访问的增强可见性、监督和控制来增强 API 网关功能。 这有助于组织识别身份验证漏洞、实施访问控制并阻止未经授权访问 API、后端系统和敏感数据的尝试。 该服务通过持续发现(包括身份验证状态)来学习、建模和映射所有应用程序和 API 端点。 通过直接代码分析和基于流量的发现,它还可以了解和记录身份验证类型和 API 端点详细信息。 通过利用 OAS 文件(无论是学习到的还是上传的),它可以强制执行身份验证要求并阻止边缘未经身份验证的流量,从而减少对 API 网关和服务器进行请求处理的依赖。
该服务还包括 JSON Web Token (JWT) 验证功能,允许组织上传身份验证密钥并在边缘验证 JWT 登录请求。 此功能消除了组织在服务器上存储会话状态或从数据库或缓存中检索用户信息的需要。 通过启用即时验证,它消除了查询来源进行验证的需要,从而增强了 API 的可扩展性并提供更快的用户体验。
组织还可以利用分布式云 API 安全性,使用自动生成或导入的 OAS 文件,根据有效的模式定义强制执行正确的 API 行为。 该服务根据记录的 API 特性(包括数据类型、长度限制、允许的字符和有效值范围)验证输入和输出数据,以确保合规性。 通过持续监控 API 流量,它可以自动验证、阻止或实施保护规则——允许对规范文件中定义的各个 API 端点、API 组或基本路径进行细粒度的访问控制。
F5 可扩展的、基于 SaaS 的分布式云平台提供高级 API 保护功能以及补充的 WAAP 功能。 分布式云 API 安全为 API 提供多层保护,使组织能够快速检测和应对漏洞、可疑攻击和滥用。 该解决方案简化了基本 API 安全控制的部署和管理,在提供集中可视性和管理的统一控制台内保护应用程序的整个生态系统(包括越来越多的 API)。
结论
随着组织采用由 API 支持的现代应用,它们会暴露更多的端点——这增加了它们对网络威胁的敏感性,并凸显了对强大的 API 保护的需求。 API 是数据交换、服务支持和交易执行的重要渠道,因此成为网络犯罪分子的主要目标。 随着组织越来越依赖 API 来增强功能和简化操作,与未受保护的 API 相关的风险也激增。 漏洞可能导致未授权访问、数据泄露和服务中断,最终危及敏感信息并损害客户信任。 由于身份验证机制的复杂性和 API 的动态特性,传统的安全措施往往不够充分,需要专门的保护措施。
这正是分布式云 API 安全所提供的:组织需要实施强大的 API 保护的平台和工具,以减轻这些风险并在其现代数字基础设施和生态系统中增强弹性。 通过优先考虑 API 保护,企业可以更好地防御不断演变的威胁,确保其服务和数据的完整性,并在不影响创新步伐的情况下保持遵守行业法规——在快速发展的数字生态系统中安全地释放其新的现代应用程序的全部潜力。
通过优先考虑 API 保护,企业可以更好地抵御不断演变的威胁,确保其服务和数据的完整性,并在不影响创新步伐的情况下保持对行业法规的合规性。
下一步
主要优势
减少 API 漏洞的暴露
在线执行和控制(包括积极的安全功能)可实时响应攻击和其他 API 漏洞,最大限度地减少 OWASP API 安全 Top 10 威胁造成的潜在损害。
阻止未授权访问并限制数据丢失
深入了解 API 的使用情况和敏感数据(包括个人身份信息 (PII))的暴露情况,并能够屏蔽、限制或阻止 API 暴露关键数据。
监控 API 端点并提高可见性
从集中控制台持续监控 API 端点,检测异常和恶意活动以增强响应策略、优化控制并加强 API 保护策略。
轻松应用一致的保护和策略管理
使用一组通用的控制机制从单点管理 API 安全性 - 简化策略实施并确保所有 API 的一致保护。
主要特点
确保全面的运行时保护
将在线应用程序和 API 安全功能与 Web应用防火墙 (WAF) 和机器人防御保护相结合,利用丰富的客户端信号和机器学习 (ML) 来确保最大功效和接近零的误报。
保护敏感数据
通过限制数据传输或完全阻止暴露任何形式数据的 API 端点,屏蔽通过 API 请求暴露的敏感数据(包括 API 保护规则)。
实施积极的 API 安全
使用学习到的、自动生成的或现有的 OpenAPI 规范 (OAS) 文件自动提供积极的安全模型,以通过有效的端点、参数、方法、身份验证和有效负载详细信息强制执行所需的 API 行为。
执行行为分析和异常检测
利用基于 ML 的分析来识别最常用和最受攻击的 API 端点,评估使用模式(包括行为异常)并识别暴露的敏感数据。
实施实时威胁检测和风险评分
通过识别身份验证状态、敏感数据暴露和行为异常来精确定位最常被攻击的 API 和高风险端点——利用持续的流量检查、威胁监控和漏洞识别。