數字化轉型背景下如何實現API安全加固？

　　過去一年裡，由於受到新冠疫情影響，企業被迫在前所未有的範圍內遠端辦公，嘗試使用新方法來利用技術服務客戶。統計顯示，進行現代化改造的企業數量比2020年增加了133%。實現應用現代化的方法有很多，透過 API 啟用現代介面無疑是具有成本效益的一種。而隨著 API 的激增，如何實現API安全加固就成為企業關注的焦點。那麼今天我們就來聊聊API閘道器的安全加固架構與F5 API加固解決方案。
　　
　　API閘道器安全加固架構

　　從攻擊的角度來看，API閘道器的安全加固架構與傳統應用的安全加固架構類似，分為網路層、交付與傳輸層、應用層。在API閘道器的安全加固架構的應用層面，主要關注機器人攻擊和漏洞類攻擊兩個方面：
　　
　　 機器人攻擊：目前網際網路上50%以上的流量產生於機器人BOT，機器人可以模擬正常的業務請求來訪問系統，造成API閘道器係統的資源消耗在無意義的請求上。當大量機器人模擬正常的業務訪問來請求API閘道器時，這種應用層DDoS攻擊會對API閘道器帶來巨大的效能開銷，導致API閘道器係統的不可用。故在應用層，需要部署WAF類產品，來識別和防禦機器人攻擊行為，降低機器人攻擊對API閘道器帶來的攻擊威脅。

　　漏洞類攻擊：WAF類產品除了對機器人攻擊進行防禦以外，還需要能夠識別針對應用系統的漏洞攻擊，例如注入類攻擊，跨站類攻擊，掃描探測類攻擊等等，在處理攻擊的同時，WAF需要檢測API內容，發現嵌入在API Payload中的攻擊程式碼。部署在API閘道器前的WAF需要具備可程式設計能力，實現零日攻擊的快速防禦。

　　Advanced WAF(API安全-新一代WAF)高階應用層防護模組

　　關於F5 API加固解決方案，主要涉及：AFM高階防火牆模組、LTM負載均衡模組、SSLO 加解密流量編排模組、Advanced WAF(API安全-新一代WAF) 高階應用層防護模組、APM 認證授權策略管理模組、HSL高速日誌引擎。本文將會談到Advanced WAF(API安全-新一代WAF)應用層防護相關的內容。
　　
　　針對API的防護，首先需要了解資料和API應用的結構，F5 Advanced WAF(API安全-新一代WAF) 支援將OpenAPI及Swagger配置檔案匯入，根據配置檔案自動生成路徑策略，並按不同的API路徑提供不同深度的保護。透過嚮導式配置方法，極大提高了防護部署的便捷性。

　　機器人防禦：基於多個維度進行機器人的防護，透過機器人特徵庫，快速遮蔽惡意機器人攻擊；對於API介面，Advanced WAF(API安全-新一代WAF)利用X-Security-Update-URL報文頭將JavaScript指令碼插入到API應用返回的第一個回覆報文中，後續透過X-Security-Request判斷其API訪問是請求的合法性。在整個API訪問的過程中，Advanced WAF(API安全-新一代WAF)會持續遞進透過中地檢測API互動，確保機器人BOT無法繞過檢測，使得API閘道器不被機器人攻擊所影響。
　　
　　應用層DDoS攻擊防護：API DDoS攻擊通常模擬正常的API訪問流程，瞄準消耗API閘道器效能較高的資源進行攻擊，從而達到使API閘道器癱瘓，業務中斷的目的。Advanced WAF(API安全-新一代WAF)防護模組可以透過多個維度來檢測API DDoS攻擊，透過Java script來有效控制API的訪問頻率，達到降低DDoS攻擊影響的目的。同時，Advanced WAF(API安全-新一代WAF)還會基於API閘道器返回的延遲情況來判斷API閘道器是否存在異常，網路中是否存在攻擊。當API閘道器返回的延遲高於設定的閾值時，Advanced WAF(API安全-新一代WAF)模組會主動介入，對流量進行主動檢測和攻擊的防護。
　　
　　Advanced WAF(API安全-新一代WAF)應用層防護的功能不止以上兩點。此外，還能協議內容檢查、訪問方式限定、掃描阻斷、暴力破解防護、支援自定義資料的隱藏、IP地址信譽庫防護以及新建API介面防護策略的靈活呼叫。

　　API 的普及對應用安全和交付技術具有重大影響。API 容易遭受攻擊，因為從其定義來看，它們將應用邏輯和敏感資料公開給其他應用或第三方。F5 Advanced WAF(API安全-新一代WAF) 產品具備AS3模組，安全運維人員可以將API應用分類，按不同型別制定防禦策略的模板，API應用在開發流程中可透過AS3模組自動呼叫Advanced WAF(API安全-新一代WAF)上相關的防禦策略模板，從而實現安全部署與業務釋出效率的並行。