在各種APP泛濫的現在,背後都有同樣泛濫的API接口在支撐,其中魚龍混雜,直接裸奔的WEB API大量存在,安全性令人堪優在以前都采用自已定義的接口和結構,對于公開通路的接口,專業點的都會做下安全驗證,資料簽名之類。反而現在,誰都可以用WEB API估接口,安全性早忘一邊了,特别是外包小公司的APP項目,安全漏洞非常大。那麼問題來了,如果遇到API安全問題怎麼辦?F5 API加強解決方案怎麼樣?
API安全問題找F5,因為F5 有專門針對這個問題的解決方案,并且就目前來看,取得的效果還是很不錯的。下面就給大家科普一下吧。
F5 API加強解決方案簡介
關于F5 API加強解決方案,主要涉及:AFM進階防火牆子產品、LTM負載均衡子產品、SSLO 加解密流量編排子產品、 Advanced WAF(API安全-新一代WAF) 進階應用層防護子產品、APM 認證授權政策管理子產品、HSL高速日志引擎。在此談及 ADVANCED WAF(API安全-新一代WAF)應用層防護相關的内容:
Advanced WAF(API安全-新一代WAF) 進階應用層防護子產品
針對API安全問題的防護,首先需要了解資料和API應用的結構,F5 Advanced WAF
(API安全-新一代WAF) 支援将OpenAPI及Swagger配置檔案導入,根據配置檔案自動生成路徑政策,并按不同的API路徑提供不同深度的保護。通過向導式配置方法,極大提高了防護部署的便捷性。
協定内容檢查:通過對XML,JSON封包體的識别,檢查封包格式中存在的安全隐患和攻擊特征,例如封包體長度限制,特殊字元的濫用,多次編碼,參數錯誤,惡意代碼上傳等。
通路方式限定:限定API接口的通路方法(例如隻允許GET,POST ,不允許其他通路方法),阻斷非正常的通路方式,可降低API本身漏洞被利用的機率。
掃描阻斷:阻斷攻擊者對API網關漏洞的掃描,提高API網關的安全性,降低應用服務的暴露面。
暴力破解防護:此類攻擊會對API網關的性能産生巨大的消耗,讓大量的資源消耗在鑒權上。
Advanced WAF WAF(API安全-新一代WAF)進階應用層防護子產品可以自動學習AJAX登入頁面,根據預先設定的通路門檻值政策進行自動的暴力破解防護。
敏感資料洩露:支援自定義資料的隐藏,有效保護資料的私密性。
機器人防禦:基于多個次元進行機器人的防護,通過機器人特征庫,快速屏蔽惡意機器人攻擊;對于API接口, Advanced WAF(API安全-新一代WAF)利用X-Security-Update-URL封包頭将JavaScript腳本插入到API應用傳回的第一個回複封包中,後續通過X-Security-Request判斷其API通路是請求的合法性。在整個API通路的過程中, Advanced WAF(API安全-新一代WAF)會持續遞進通過中地檢測API互動,確定機器人BOT無法繞過檢測,使得API網關不被機器人攻擊所影響。
應用層DDoS攻擊防護:API DDoS攻擊通常模拟正常的API通路流程,瞄準消耗API網關性能較高的資源進行攻擊,進而達到使API網關癱瘓,業務中斷的目的。 Advanced WAF(API安全-新一代WAF)防護子產品可以通過多個次元來檢測API DDoS攻擊,通過Java script來有效控制API的通路頻率,達到降低DDoS攻擊影響的目的。同時, Advanced WAF(API安全-新一代WAF)還會基于API網關傳回的延遲情況來判斷API網關是否存在異常,網絡中是否存在攻擊。當API網關傳回的延遲高于設定的門檻值時, Advanced WAF(API安全-新一代WAF)子產品會主動介入,對流量進行主動檢測和攻擊的防護。
IP位址信譽庫防護:API DDoS攻擊也存在一種利用大量離散IP以低頻的形式攻擊API網關,進而起到繞過防護裝置針對每秒請求數限制的防護手段的效果。 Advanced WAF(API安全-新一代WAF)防護子產品可以提供IP位址信譽庫功能,與第三方威脅情報組織合作,實時更新IP信譽庫,對于此類低頻的DDoS攻擊,可以起到良好的防護作用。目前IP位址信譽庫容納了多種惡意位址庫分類,例如匿名代理,惡意代理,SPAM,釣魚網絡,僵屍網絡等等。一旦通路IP來源包含在這些位址分類中,會直接被阻斷。
建立API接口防護政策的靈活調用:如今的API接口開發遵循持續疊代,持續傳遞的體系,并不斷對應用架構做優化和開發模闆的統一,進而可以實作應用的快速、灰階釋出,靈活發版與回收。傳統的安全運維方式,在政策部署方式難以跟上應用開發的步伐。這就對應用安全類産品能否嵌入到開發流程中,完成安全政策的自動下發,測試并配合應用發版提出了要求。F5 Advanced WAF(API安全-新一代WAF) 産品具備AS3子產品,提供聲明式模闆,以模闆的形式完成安全政策的調用。安全運維人員可以将API應用分類,按不同類型制定防禦政策的模闆,API應用在開發流程中可通過AS3子產品自動調用 Advanced WAF(API安全-新一代WAF)上相關的防禦政策模闆,進而實作安全部署與業務釋出效率的并行,有效的解決API安全問題。