解决方案概述

如何保护 API 和第三方集成

保护您的数字业务结构

安全 API 第三方集成图示

API 是现代应用程序的基础,也是通向 AI 应用程序的渠道。 通过使不同的系统和生态系统协同工作,API 可以加快产品上市时间,并利用庞大的第三方生态系统提供更好的用户体验。 另一方面,API 的使用激增和生成式人工智能的兴起使得架构分散化、复杂性增加并带来了重大风险。 这使得保护应用程序和 API 变得更加困难,从而使得它们对攻击者来说极具吸引力。 随着各组织不断更新其应用程序组合并在新的数字经济中不断创新,预计到 2031 年 API 的数量将达到 10 亿

主要优势

分布式安全

F5 可在您的 API 所在的任何地方运行 - 数据中心、云端、边缘、移动应用程序背后以及第三方集成中。

持续执法

F5 安全采用基于 API 模式学习、自动风险评分和基于 ML 的保护的积极安全模型。

持续保护

F5 解决方案提供通用的可视性、可操作的洞察力和高度训练的机器学习,可持续发现并自动保护 API 背后的关键业务逻辑 - 从代码、测试到生产。

了解 API 的挑战和潜在风险

由于端点和集成结构不断扩展,API 泛滥,使得安全团队无法使用手动方法识别和保护关键业务逻辑。 API 越来越多地分布在异构基础设施中,包括利用数据中心、公共云和边缘站点的混合云和多云环境——导致关键业务逻辑暴露在集中安全控制范围之外。 此外,由于应用开发团队迅速创新,API 调用可能深藏在业务逻辑中并引用不安全的代码,因此很难保护。 

由于如此重视创新速度,安全性往往被抛在后面。 有时,API 本身的设计就会忽视安全性。 通常,我们会考虑安全性,但由于维护跨多个云和架构的应用程序部署的细微复杂性,导致策略配置错误。 

由于 API 是为机器对机器的数据交换而设计的,因此许多 API 代表着敏感数据的直接路径,通常没有与面向用户的 Web 表单上的输入验证相同的风险控制。 然而,这些端点也面临着困扰 Web 应用程序的相同攻击:即漏洞利用、业务逻辑滥用和访问控制绕过,这些攻击可能导致数据泄露、停机和帐户接管(ATO)。

不仅应该使用与 Web应用相同的风险控制来评估 API 端点(包括代码分析、渗透测试和威胁建模以减轻业务逻辑攻击的风险),还需要考虑其他因素以减轻超出安全团队职权范围或基本上已被废弃的端点带来的意外风险,就像影子 API 和僵尸 API 的情况一样。

API 和 Web 应用一样容易受到攻击

由于 API 容易受到许多已知的针对 Web应用的攻击,因此 API 安全事件已成为一些最引人注目的数据泄露事件的根源。 薄弱的身份验证/授权控制、错误配置、业务逻辑滥用和服务器端请求伪造(SSRF)等风险会影响 Web 应用程序和 API。 机器人和恶意自动化的漏洞利用和滥用是最令人担忧的问题:

API 在整个设计和实施过程中引入了意想不到的风险

应用s已经走向日益分布式和去中心化的模型,并以API作为互连。 能够提升商业价值的移动应用程序和第三方集成已成为在线世界中成功竞争的赌注。 F5 实验室的研究详细说明了随着越来越多的行业采用现代应用架构,API 如何成为日益增长的目标 — — 部分原因是 API 更加结构化,更容易被攻击者利用。

当 API 广泛分布而没有整体治理策略时,风险会增加。 这种风险因持续的应用生命周期而加剧,其中应用和 API 由于与复杂供应链的集成以及通过 CI/CD 管道实现的自动化而随时间不断变化。

多种多样的界面和潜在的风险暴露意味着安全团队需要主动、动态、持续地保护前门以及代表现代和人工智能应用程序构建块的所有窗口。

API 安全解决方案

机器学习的进步使得动态发现 API 端点并自动映射它们的相互依赖关系(无论是在测试中还是在生产中)成为可能,从而提供了一种实用的方法来分析一段时间内的 API 通信模式并识别增加风险的影子或未记录的 API。 

此外,持续的端点监控和分析使安全基线能够自主构建,提供实时检测、自动风险评分和恶意用户缓解,而不会不必要地增加安全团队的工作量。

这种持续、自动化的保护可产生高度校准的策略,这些策略可以在软件开发生命周期的所有阶段一致地应用于所有架构、所有 API——减轻漏洞利用、阻止业务逻辑攻击以及强制执行架构、协议合规性和访问控制。

企业需要利用现代架构和第三方集成来更新其旧式应用程序,同时开发新的用户体验。 保护从核心到云端到边缘的 API 的整体治理策略支持数字化转型,同时降低已知和未知的风险。

图 1: F5 解决方案保护整个企业应用生态系统的 API
图 1: F5 解决方案保护整个企业应用生态系统的 API

主要特点

发现面向公众的 Web 应用程序和 API 的已知风险,并通过 AI 增强洞察识别测试中的漏洞以帮助补救。 

动态 API 发现

检测整个企业应用生态系统的 API 端点。

异常检测

使用自动风险评分和机器学习识别可疑行为和恶意用户。

API 定义导入

根据 OpenAPI 规范创建并实施积极的安全模型。

协议和身份验证合规性

支持基于 REST、GraphQL 和 gRPC 的 API、各种身份验证类型和 JSON Web Tokens (JWT)。

政策自动化

融入开发框架和安全生态系统。

可视化和见解

构建 API 关系图并评估端点指标。 

灵活的 API 安全范例

F5 解决方案提供了在任何环境中运行的灵活性。 通用可视性和基于 ML 的自动化保护可最大限度地提高效率并减轻安全团队的负担。 F5 可以整合纯粹/利基解决方案并持续保护混合和多云环境,以提高弹性和补救能力。

部署 API 安全性的关键考虑因素包括:

  1. 混合和多云支持
    通用可见性和一致的策略实施可降低复杂性、工具蔓延和配置错误的风险,并加快补救速度。

  2. 与现有开发流程集成
    安全团队可以通过在测试期间主动发现风险并通过本机 Terraform 注册表将安全策略集成到 CI/CD 管道中来跟上应用生命周期。

  3. 积极的安全模型
    F5 解决方案通过积极的安全模型简化策略,该模型使用 OpenAPI 定义、Swagger 文件和零信任原则强制执行模式。

  4. 自动防御
    基于机器学习的异常检测可以修复漏洞利用、业务逻辑滥用和拒绝服务,而无需给安全团队带来跨环境策略调整或过多误报的负担。

  5. 丰富的可视化效果
    具有深入支持 API 使用基线的安全仪表板可帮助操作员关联见解并简化事件响应。

  6. 安全弹性
    持久的遥测和高度训练的机器学习可实现更高效、更有效的安全性,以跟上数字业务的速度并减轻新出现的对抗性人工智能攻击。

结论

F5 解决方案通过持续发现并自动保护跨云和架构的关键业务逻辑和第三方集成来保护整个企业产品组合的 API。 

全面一致的安全策略与弹性的机器学习防御相结合,使组织能够将 API 安全性与数字战略相结合。 这使企业能够改善风险管理、自信地创新并简化运营。

了解F5 分布式云的实际运行情况