BLOG

F5 Freitag: API-Sicherheit mit F5 und 3scale

Lori MacVittie Miniaturbild
Lori MacVittie
Veröffentlicht am 22. Februar 2019

Als serviceorientierte Architekturen (SOA) der letzte Schrei waren und SOAP-basierte Webdienste das wichtigste Integrationsmittel darstellten, entstand auf dem Markt ein Bedarf an SOA-Gateways. Diese Lösungen bieten Verwaltung, Versionierung, HTTP-Routing und mehr. Was sie nicht boten – zumindest nicht umfassend – war Sicherheit. Aus diesem Grund haben wir den Aufstieg von SOA-Sicherheitsgateways erlebt.

APIs liegen heute voll im Trend und RESTful-Dienste auf JSON-Basis bilden das Rückgrat für den Datenaustausch zwischen mobilen und Cloud-nativen Apps. APIs benötigen dieselben Dienste wie SOA-Gateways – einschließlich Sicherheit. Aber wie ihre Vorgänger konzentrieren sich die meisten API-Gateways auf geschäfts- und anwendungsspezifische Funktionen.

API-Gateways wie 3scale bewerten, transformieren und sichern Nachrichten innerhalb einer Organisation. Sie bieten Unterstützung für Versionierung, Ratenbegrenzung und geschäftsorientierte Funktionen wie die Integration mit Zahlungs-Gateways. Dashboards bieten Entwicklern einen Überblick über Leistung und Nutzung.

Allerdings bieten API-Gateways nicht unbedingt einen umfassenden Sicherheitsschutz. DoS-Schutz, das Aufspüren bösartiger Inhalte und das Blockieren von Bots fallen in den Zuständigkeitsbereich von Sicherheitsdiensten wie einer erweiterten WAF. Durch die Kombination beider legen Sie die Messlatte für Sicherheit höher und erhöhen das Vertrauen in die Integrität Ihrer APIs.

Dies ist besonders wichtig, wenn man bedenkt, dass 60 % der Organisationen eine öffentliche API ( State of API Integration 2018, Cloud Elements ) anbieten, die jedem Entwickler zur Verfügung steht. Jeder Entwickler kann gute Chancen eröffnen, das Unternehmen wird dadurch jedoch auch anfällig für Angriffe von Personen mit böswilligen Absichten.

F5 hat sich mit 3scale zusammengetan, um seinen Kunden eine rundum sichere Anwendungsumgebung zu ermöglichen. Durch die Platzierung eines F5 Advanced WAF vor einem 3scale API-Gateway können Sie von zusätzlichen Sicherheitsmaßnahmen profitieren. Dazu gehören die Nutzung von IP-Intelligence zur schnelleren und genaueren Identifizierung von Bedrohungen, die Möglichkeit, intern oder extern eine sichere API-Fassade anzubieten, und Schutz vor einer Vielzahl von Angriffen auf Anwendungsebene.

Dies wird zunehmend wichtiger, da APIs als primäres Mittel zur internen und externen Integration eine zentrale Rolle spielen. In einem Forbes- Artikel aus dem Jahr 2018 hieß es:

Zu den namhaften Unternehmen, die allein in den letzten Monaten aufgrund von API-Problemen Kundeninformationen preisgaben, gehören der Online-Einzelhandelsriese Amazon , der Telekommunikationsanbieter T-Mobile , der Lebensmittelhändler Panera Bread und die Sicherheitskonferenz Black Hat.

Sie möchten nicht auf dieser Liste landen und deshalb haben wir mit 3scale zusammengearbeitet, um diese Lösung auf den Markt zu bringen.

Weitere Informationen dazu, wie F5 Advanced WAF mit 3scale zusammenarbeitet, um APIs zu schützen, finden Sie in dieser Lösungsübersicht .