數字化轉型背景下如何實現API安全加固?

hanniuniu12發表於2021-06-23


  過去一年裡,由於受到新冠疫情影響,企業被迫在前所未有的範圍內遠端辦公,嘗試使用新方法來利用技術服務客戶。統計顯示,進行現代化改造的企業數量比2020年增加了133%。實現應用現代化的方法有很多,透過 API 啟用現代介面無疑是具有成本效益的一種。而隨著 API 的激增,如何實現API安全加固就成為企業關注的焦點。那麼今天我們就來聊聊API閘道器的安全加固架構與F5 API加固解決方案。
  
  API閘道器安全加固架構

  從攻擊的角度來看,API閘道器的安全加固架構與傳統應用的安全加固架構類似,分為網路層、交付與傳輸層、應用層。在API閘道器的安全加固架構的應用層面,主要關注機器人攻擊和漏洞類攻擊兩個方面:
  
   機器人攻擊:目前網際網路上50%以上的流量產生於機器人BOT,機器人可以模擬正常的業務請求來訪問系統,造成API閘道器係統的資源消耗在無意義的請求上。當大量機器人模擬正常的業務訪問來請求API閘道器時,這種應用層DDoS攻擊會對API閘道器帶來巨大的效能開銷,導致API閘道器係統的不可用。故在應用層,需要部署WAF類產品,來識別和防禦機器人攻擊行為,降低機器人攻擊對API閘道器帶來的攻擊威脅。

  漏洞類攻擊:WAF類產品除了對機器人攻擊進行防禦以外,還需要能夠識別針對應用系統的漏洞攻擊,例如注入類攻擊,跨站類攻擊,掃描探測類攻擊等等,在處理攻擊的同時,WAF需要檢測API內容,發現嵌入在API Payload中的攻擊程式碼。部署在API閘道器前的WAF需要具備可程式設計能力,實現零日攻擊的快速防禦。

  Advanced WAF(API安全-新一代WAF)高階應用層防護模組

  關於F5 API加固解決方案,主要涉及:AFM高階防火牆模組、LTM負載均衡模組、SSLO 加解密流量編排模組、Advanced WAF(API安全-新一代WAF) 高階應用層防護模組、APM 認證授權策略管理模組、HSL高速日誌引擎。本文將會談到Advanced WAF(API安全-新一代WAF)應用層防護相關的內容。
  
  針對API的防護,首先需要了解資料和API應用的結構,F5 Advanced WAF(API安全-新一代WAF) 支援將OpenAPI及Swagger配置檔案匯入,根據配置檔案自動生成路徑策略,並按不同的API路徑提供不同深度的保護。透過嚮導式配置方法,極大提高了防護部署的便捷性。

  機器人防禦:基於多個維度進行機器人的防護,透過機器人特徵庫,快速遮蔽惡意機器人攻擊;對於API介面,Advanced WAF(API安全-新一代WAF)利用X-Security-Update-URL報文頭將JavaScript指令碼插入到API應用返回的第一個回覆報文中,後續透過X-Security-Request判斷其API訪問是請求的合法性。在整個API訪問的過程中,Advanced WAF(API安全-新一代WAF)會持續遞進透過中地檢測API互動,確保機器人BOT無法繞過檢測,使得API閘道器不被機器人攻擊所影響。
  
  應用層DDoS攻擊防護:API DDoS攻擊通常模擬正常的API訪問流程,瞄準消耗API閘道器效能較高的資源進行攻擊,從而達到使API閘道器癱瘓,業務中斷的目的。Advanced WAF(API安全-新一代WAF)防護模組可以透過多個維度來檢測API DDoS攻擊,透過Java script來有效控制API的訪問頻率,達到降低DDoS攻擊影響的目的。同時,Advanced WAF(API安全-新一代WAF)還會基於API閘道器返回的延遲情況來判斷API閘道器是否存在異常,網路中是否存在攻擊。當API閘道器返回的延遲高於設定的閾值時,Advanced WAF(API安全-新一代WAF)模組會主動介入,對流量進行主動檢測和攻擊的防護。
  
  Advanced WAF(API安全-新一代WAF)應用層防護的功能不止以上兩點。此外,還能協議內容檢查、訪問方式限定、掃描阻斷、暴力破解防護、支援自定義資料的隱藏、IP地址信譽庫防護以及新建API介面防護策略的靈活呼叫。

  API 的普及對應用安全和交付技術具有重大影響。API 容易遭受攻擊,因為從其定義來看,它們將應用邏輯和敏感資料公開給其他應用或第三方。F5 Advanced WAF(API安全-新一代WAF) 產品具備AS3模組,安全運維人員可以將API應用分類,按不同型別制定防禦策略的模板,API應用在開發流程中可透過AS3模組自動呼叫Advanced WAF(API安全-新一代WAF)上相關的防禦策略模板,從而實現安全部署與業務釋出效率的並行。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/25922618/viewspace-2778051/,如需轉載,請註明出處,否則將追究法律責任。

相關文章