我們知道現在的應用都是基於web的流量,使用API作為輕量及高效的通訊方式已經是非常非常普遍,您手機的APP、瀏覽器或是各個夥伴間的通信都會使用API,但是API的安全會在使用的便利上通常都會被大家忽略。
我們先來看一下Garther對API的整件事情的防護建議是怎麼樣,首先我們會從內部的API的部件方式來看,可能在API的服務,非常多企業會引進邊緣API的閘道,在之前會需要蠻多的一個防護,尤其是API這樣的一個構建方式比較新,所以他會比較容易遭受攻擊,所以您可以看到在API的防護上需要抗DDOS,這邊的DDOS會是比較偏重於7層的,另外會需要ADC附載均衡器保護後端的API達到高可用、機器人程式攻擊的防禦、傳統的WAF所有既有的防護都要能夠延伸到API、了解API的通訊方式,此外認證跟授權都是也是一個重要的議題,所以在防護跟認證授權上面會是API很重要的一,環在這一塊F5都有著眼到。
但是我們要提到一下,就是在設定上面API閘道的廠商會常常說他也具備了API的安全,可是我們來仔細分析一下的話這邊的API閘道的安全功能主要是侷限在速率控制、存取的控制上面,但是針對其他的像Garther建議的一些進階防護像加解密、像針對不同的API進行防護、針對種型態的資料格式能夠做不同格式的異常檢測另外要針對惡意程式、惡意的特徵碼做檢查這個要持續的做更新,此外,要讓防護惡意的機器人要進行行為化的DDOS防禦,另外一個很重要的就是要做到高可用的功能。
所以以F5我們建議如果您已經既有了API閘道或是沒有API閘道前端都應該建置一層或是兩層F5的方案來保護您、幫助您達到後端API的高可用傳輸的安全、存取的控制、內容的防護以及BOT跟DDOS的防護此外做到完全安全級別的可視化。