Verbesserung der AWS API Gateway-Sicherheit: Best Practices für API-Management

Für die effektive Verwaltung und Sicherung großer Mengen von APIs ist eine mehrschichtige Lösung erforderlich. Für AWS -Benutzer ist Amazon API Gateway ein vollständig verwalteter Dienst, der es Entwicklern ermöglicht, APIs in jedem Umfang zu erstellen, zu veröffentlichen, zu verwalten, zu überwachen und zu sichern. API Gateway unterstützt eine Vielzahl von Backend-Integrationen und ermöglicht containerisierte, serverlose und herkömmliche instanzbasierte Workloads.

Allerdings ist die Sicherheit eine gemeinsame Verantwortung von AWS und seinen Kunden. Während AWS für den Schutz der Infrastruktur und Dienste verantwortlich ist, müssen die Kunden auch ihre Daten und Anwendungen sichern.

AWS empfiehlt die folgenden Sicherheitsdesignprinzipien.³

• Mildern Sie die Auswirkungen von Distributed-Denial-of-Service -Angriffen (DDoS).
• Implementieren Sie Inspektion und Schutz mithilfe einer Web Application Firewall (WAF).
• Ermöglichen Sie Auditierung und Rückverfolgbarkeit durch nahezu Echtzeitüberwachung
• Automatisieren Sie bewährte Sicherheitsmethoden
• Wenden Sie Sicherheit auf allen Ebenen an, um einen umfassenden Verteidigungsansatz zu erreichen.

Als AWS-Partner bietet F5 Sicherheit, die mit Amazon API Gateway zusammenarbeitet, um Ihre Apps und APIs zu sichern. F5 BIG-IP Advanced WAF oder F5 Distributed Cloud WAF können bösartigen Datenverkehr identifizieren, der versucht, das Amazon API Gateway oder Ihre API-Dienste zu erreichen. Sie können die WAF vor oder hinter Amazon API Gateway bereitstellen. Der Einsatz vor dem Gateway bietet jedoch den zusätzlichen Vorteil, dass böswillige API-Aufrufe verhindert werden, die Geld kosten.

F5 WAF-Lösungen nutzen Verhaltensanalysen zur genauen Identifizierung von Bedrohungen und bieten Layer-7-DoS-Minderung, Anwendungsschicht-Verschlüsselung und Bedrohungsinformationsdienste. Durch die Bereitstellung einer WAF schützen Sie Ihre Anwendungen und APIs vor Angriffen, einschließlich denen in den OWASP Top 10.

Eine weitere wichtige Voraussetzung für den API-Schutz ist die Erkennung. Integrieren Sie F5 Distributed Cloud API Security in Ihre CI/CD-Pipeline, um API-Änderungen zu erfassen, ohne den Entwicklungsprozess zu unterbrechen. Laden Sie ein vorhandenes API-Schema hoch, um ein entsprechendes API-Verhalten durchzusetzen und automatisch Richtlinien basierend auf App-zu-App- und API-zu-API-Mustern zu generieren. F5 Distributed Cloud API Security kontrolliert außerdem Verbindungen und überwacht den API-Verkehr auf anormales Verhalten, wodurch verdächtige Aktivitäten blockiert werden können.

Bots stellen eine weitere große Bedrohung für die API-Sicherheit dar. Einige der Top-10-Bedrohungen der OWASP API Security sind Schwachstellen, die leicht von Bots ausgenutzt werden können, wie etwa eine uneingeschränkte Ressourcennutzung oder eine fehlerhafte Authentifizierung. Durch das Hinzufügen von F5 Distributed Cloud Bot Defense wird eine Kombination aus menschlichen Experten und maschinellem Lernen ermöglicht, um bösartigen Bot-Verkehr zu erkennen und gleichzeitig legitime Benutzer und hilfreiche Bots zuzulassen.