F5 台灣區技術總監陳廣融表示,過去幾年 F5 專注金融 Open API、Open Banking,如今跨足電子病歷上雲、FHIR 快捷式醫療服務互操作資源(Fast Healthcare Interoperability Resources)等議題,深覺其間有很大相似性,都是基於開放、輕量的協議,足以促成廣大生態系發展。F5 的角色,會是電子病歷、FHIR 構建上的最後一哩路,幫助用戶透過 REST API 輕量級協議,以 JSON 格式傳遞資料,並協助進行應用安全把關。
陳廣融說,FHIR 核心是 REST API,迥異於過去的 HTML,所以治理需求也出現變化,除了仍以 WAF 做為 Web 應用的基礎安全防護外,另需留意 API 的認證授權議題,確保唯有合適的用戶、才能取得他應取得的資料;此事看似基本,但在 API 世界,執行難度會比從前高出許多。
API Vulnerability Paths 主要分成幾塊,包括不安全的 API Key 或 Hard-Coded API Key,進而造成認證授權的不完整;除前端外還有後續,像是 API Logic Flaws 或 Sniffed API Calls 都是問題。因此 Gartner 建議,用戶除利用 WAF 做為 API 端點或 Web 應用的標配防護,還需設法讓 WAF 具有智能,可以做相關的 API 管理、存取控管或 API 安全強化。 例如醫院因應 FHIR 建立數支或許多支 API,重點在於要讓 WAF 理解 API,首先必須支援最新加密規則(如 TLS 1.3),加密完畢後要能針對機器人進行檢測,接著執行 API 用戶端的認證授權,然後做內容檢查、針對其中敏感資訊進行遮罩與限速,同時除須確保每筆連線交易都能做回溯外,還要有適當機制,將每筆交易資料留存於網路層、應用安全層,以便日後釐清事件來龍去脈。凡此種種,皆是 F5 可以協助醫療機構的地方。
文章出處:CIO Taiwan