解决方案概述

如何确保 API 和第三方集成的安全

保护您的数字业务结构

安全 API 第三方集成图解

应用程序接口是现代应用程序的基础。通过使不同的系统协同工作,API 可以加快产品上市速度,并利用庞大的第三方生态系统提供更好的用户体验。另一方面,API 使用量的激增也分散了架构,带来了未知的风险。这使得确保应用程序和 API 的安全变得更加困难,反过来又使它们对攻击者极具吸引力。随着企业不断对其应用程序组合进行现代化改造,并在新的数字经济时代进行创新,预计到 2031 年,API 的数量将达到 10 亿个.

主要优势

分布式安全

F5 可在数据中心、云端、边缘、移动应用程序背后以及第三方集成中运行您的 API。

一致的执法

F5 安全系统采用基于 API 模式学习、自动风险评分和基于 ML 的保护的积极安全模型。

持续保护

F5 解决方案提供全面的可视性、可操作的洞察力和高度训练有素的机器学习,可持续发现并自动保护 API 背后的关键业务逻辑。

了解应用程序接口的挑战和潜在风险

不断扩大的端点和集成结构所带来的应用程序接口(API)蔓延,使得安全团队使用手动方法识别和保护关键业务逻辑变得不切实际。API 越来越多地分布在异构基础设施中,包括混合和多云环境,导致关键业务逻辑暴露在集中安全控制范围之外。此外,由于应用程序开发团队迅速进行创新,API 调用可能最终隐藏在业务逻辑的深处,难以识别。 

在如此强调创新速度的情况下,安全性往往被抛在后面。有时,在设计应用程序接口(API)时,安全问题就会被忽视。通常情况下,虽然考虑到了安全性,但由于维护跨越多个云和架构的应用程序部署的细微复杂性,策略会被错误配置。 

由于应用程序接口(API)是为机器对机器的数据交换而设计的,因此许多应用程序接口(API)是获取敏感数据的直接途径,通常不需要与面向用户的网络表单输入验证相同的风险控制。然而,这些端点也会受到困扰网络应用程序的相同攻击:即漏洞利用、业务逻辑滥用和绕过访问控制,从而导致数据泄露、停机和账户接管(ATO)。

API 端点不仅应与网络应用程序一样进行风险控制评估,还需要额外的考虑,以降低不在安全团队权限范围内或已基本废弃的端点(如影子和僵尸 API)带来的意外风险。 

应用程序接口受到的攻击与网络应用程序相同

由于应用程序接口容易受到许多已知的针对网络应用程序的相同攻击,应用程序接口安全事件已成为一些最引人注目的数据泄露事件的起因。弱身份验证/授权控制、配置错误、业务逻辑滥用和服务器端请求伪造(SSRF)等风险对网络应用程序和应用程序接口都有影响。漏洞利用以及机器人和恶意自动化的滥用是最受关注的问题:

应用程序接口在整个设计和实施过程中引入了意外风险

应用程序正朝着日益分布式和分散化的模式发展,而应用程序接口(API)则起到了相互连接的作用。移动应用程序和第三方集成可提高业务价值,已成为在网络世界中成功竞争的赌注。F5实验室的研究详细说明了随着越来越多的行业采用现代应用架构,API如何成为越来越多的攻击目标,部分原因是API结构更合理,攻击者更容易操作

在没有整体治理战略的情况下,当应用程序接口广泛分布时,风险就会增加。在持续的应用生命周期过程中,由于与复杂的供应链集成以及通过 CI/CD 管道实现自动化,应用和 API 会随着时间的推移而不断变化,从而加剧了这种风险。

接口的多样性和潜在的风险暴露意味着安全团队需要保护前门以及代表现代应用程序构件的所有窗口。

应用程序接口安全解决方案

机器学习的进步使得动态发现 API 端点并自动映射其相互依存关系成为可能,从而提供了一种实用的方法来分析随时间推移的 API 通信模式,并识别会增加风险的影子或无文档 API。 

此外,持续的端点监控和分析可自主构建安全基线,提供实时检测、自动风险评分和恶意用户缓解,而不会不必要地增加安全团队的工作量。

这种持续、自动的保护可产生高度校准的策略,可在所有架构中一致地应用于所有应用程序接口--缓解漏洞、阻止机器人和滥用,并执行模式、协议合规性和访问控制。

企业需要对传统应用程序进行现代化改造,同时利用现代架构和第三方集成开发新的用户体验。从核心到云再到边缘,保护 API 的整体治理战略可支持数字化转型,同时降低已知和未知风险。

图 1:F5 解决方案为企业应用生态系统中的 API 提供保护
图 1:F5 解决方案为企业应用生态系统中的 API 提供保护

主要特点和优点

动态API发现

检测整个企业应用程序生态系统中的 API 端点。

异常检测

使用自动风险评分和机器学习识别可疑行为和恶意用户。

API定义导入

根据 OpenAPI 规范创建并实施积极的安全模型。

协议和身份验证合规性

支持基于 REST、GraphQL 和 gRPC 的 API、各种身份验证类型以及 JSON Web 令牌 (JWT)。

策略自动化

集成到开发框架和安全生态系统中。

可视化和见解

构建 API 关系图并评估端点指标。 

灵活的 API 安全范式

F5 解决方案提供在任何环境下运行的灵活性。通用可见性和基于机器学习的自动化保护可最大限度地提高效率并减轻安全团队的负担。 F5 可以整合纯/利基解决方案并持续保护混合和多云环境,以提高弹性和修复能力。

部署 API 安全性的主要考虑因素包括:
  1. 混合和多云支持
    通用可见性和一致的策略执行可降低复杂性、工具蔓延和配置错误的风险,并提高修复速度。

  2. 与现有开发流程集成
    安全团队可以通过本机 terraform 注册表将安全策略集成到 CI/CD 管道中,从而跟上应用程序生命周期的步伐。

  3. 积极的安全模型
    F5 解决方案通过积极的安全模型简化策略,该模型使用 OpenAPI 定义、Swagger 文件和零信任原则强制实施架构。

  4. 自动防御
    基于机器学习的异常检测可修复漏洞利用、业务逻辑滥用和拒绝服务,而不会给安全团队带来跨环境策略调整的负担或过多的误报。

  5. 丰富的可视化
    安全仪表板可深入支持 API 使用基线,帮助操作员关联见解并简化事件响应。

  6. 安全弹性
    持久的遥测和训练有素的机器学习可实现更高效、更有效的安全,与数字业务的发展速度保持同步,并缓解新兴的对抗性人工智能攻击。

结论和要点

F5 解决方案通过持续发现并自动保护跨云和架构的关键业务逻辑和第三方集成,保护整个企业产品组合中的 API。 

全面且一致的安全策略与基于机器学习的弹性防御相结合,使组织能够将 API 安全性与数字战略保持一致。这使企业能够改善风险管理、充满信心地创新并简化运营。

查看 F5 分布式云的实际应用.