目前網際網路上50%以上的流量産生于機器人BOT,當大量機器人模拟正常的業務通路來請求API網關時,這種應用層DDoS攻擊會對API網關帶來巨大的性能開銷,導緻API安全問題,是以找到加強解決方案很重要,而關于API安全問題F5的加強解決方案是非常受歡迎的。
關于API安全問題F5的加強解決方案是什麼?
關于API安全問題F5的加強解決方案,主要涉及:AFM進階防火牆子產品、LTM負載均衡子產品、SSLO 加解密流量編排子產品、AWAF 進階應用層防護子產品、APM 認證授權政策管理子產品、HSL高速日志引擎。
AWAF 進階應用層防護子產品
*針對API安全問題的防護,首先需要了解資料和API應用的結構,F5 AWAF 支援将OpenAPI及Swagger配置檔案導入,根據配置檔案自動生成路徑政策,并按不同的API路徑提供不同深度的保護。通過向導式配置方法,極大提高了防護部署的便捷性。
*協定内容檢查:通過對XML,JSON封包體的識别,檢查封包格式中存在的安全隐患和攻擊特征,例如封包體長度限制,特殊字元的濫用,多次編碼,參數錯誤,惡意代碼上傳等。
*通路方式限定:限定API接口的通路方法(例如隻允許GET,POST ,不允許其他通路方法),阻斷非正常的通路方式,可降低API本身漏洞被利用的機率。
*掃描阻斷:阻斷攻擊者對API網關漏洞的掃描,提高API網關的安全性,降低應用服務的暴露面。
*暴力破解防護:此類攻擊會對API安全問題網關的性能産生巨大的消耗,讓大量的資源消耗在鑒權上。AWAF進階應用層防護子產品可以自動學習AJAX登入頁面,根據預先設定的通路門檻值政策進行自動的暴力破解防護。
*敏感資料洩露:支援自定義資料的隐藏,有效保護資料的私密性。
*機器人防禦:基于多個次元進行機器人的防護,通過機器人特征庫,快速屏蔽惡意機器人攻擊;對于API接口,AWAF利用X-Security-Update-URL封包頭将JavaScript腳本插入到API安全問題應用傳回的第一個回複封包中,後續通過X-Security-Request判斷其API通路是請求的合法性。在整個API通路的過程中,AWAF會持續遞進通過中地檢測API互動,確定機器人BOT無法繞過檢測,使得API網關不被機器人攻擊所影響。
*應用層DDoS攻擊防護:API DDoS攻擊通常模拟正常的API通路流程,瞄準消耗API網關性能較高的資源進行攻擊,進而達到使API網關癱瘓,業務中斷的目的。AWAF防護子產品可以通過多個次元來檢測API DDoS攻擊,通過Java script來有效控制API的通路頻率,達到降低DDoS攻擊影響的目的。同時,AWAF還會基于API網關傳回的延遲情況來判斷API安全問題是否存在異常,網絡中是否存在攻擊。當API網關傳回的延遲高于設定的門檻值時,AWAF子產品會主動介入,對流量進行主動檢測和攻擊的防護。
*IP位址信譽庫防護:API DDoS攻擊也存在一種利用大量離散IP以低頻的形式攻擊API網關,進而起到繞過防護裝置針對每秒請求數限制的防護手段的效果。AWAF防護子產品可以提供IP位址信譽庫功能,與第三方威脅情報組織合作,實時更新IP信譽庫,對于此類低頻的DDoS攻擊,可以起到良好的防護作用。目前IP位址信譽庫容納了多種惡意位址庫分類,例如匿名代理,惡意代理,SPAM,釣魚網絡,僵屍網絡等等。一旦通路IP來源包含在這些位址分類中,會直接被阻斷。
*建立API接口防護政策的靈活調用:如今的API接口開發遵循持續疊代,持續傳遞的體系,并不斷對應用架構做優化和開發模闆的統一,進而可以實作應用的快速、灰階釋出,靈活發版與回收。傳統的安全運維方式,在政策部署方式難以跟上應用開發的步伐。這就對應用安全類産品能否嵌入到開發流程中,完成安全政策的自動下發,測試并配合應用發版提出了要求。F5 AWAF 産品具備AS3子產品,提供聲明式模闆,以模闆的形式完成安全政策的調用。安全運維人員可以将API應用分類,按不同類型制定防禦政策的模闆,API應用在開發流程中可通過AS3子產品自動調用AWAF上相關的防禦政策模闆,進而實作API安全問題部署與業務釋出效率的并行。