BLOG | NGINX

Stärkung der APIs mit erweiterter Sicherheit

NGINX-Teil-von-F5-horiz-schwarz-Typ-RGB
Karthik Krishnaswamy Miniaturbild
Karthik Krishnaswamy
Veröffentlicht am 09. August 2021

Wenn Sie die Technologienachrichten verfolgen, kommt es Ihnen oft so vor: „Ein neuer Tag, eine neue Sicherheitsverletzung.“ Zunehmend kommt es allerdings zu Sicherheitsverstößen in Form von Angriffen auf APIs. Auch wenn Sie eine Trainingspause einlegen, sind Sie nicht sicher – ein Sicherheitsforscher hat kürzlich festgestellt, dass eine API des Heimtrainer-Anbieters Peloton als Reaktion auf nicht authentifizierte Anfragen private Benutzerkontodaten preisgab!

Im Bericht „The State of Application Strategy in 2021“ von F5 gaben 58 % der Befragten an, dass sie eine API-Schicht aufbauen, um Anwendungen zu modernisieren. Mit dem Aufkommen von DevOps, Cloud und Microservices müssen Anwendungen und die ihnen zugrunde liegenden APIs in einer verteilten Umgebung unterstützt werden, die Folgendes umfasst, aber nicht darauf beschränkt ist:

  • Vor Ort, in der Cloud und in Hybridumgebungen
  • Entwicklungs-, Test-, Staging-, Sandbox- und Produktionsumgebungen
  • Interne APIs , die die Zusammenarbeit zwischen Entwicklern fördern und Datensilos aufschließen
  • Externe APIs, die Ihren Kunden, Partnern und Drittentwicklern zugänglich gemacht werden

API-Gateways vermitteln den API-Verkehr, indem sie Anfragen weiterleiten, API-Clients authentifizieren und autorisieren und Ratenbegrenzungen anwenden, um API-basierte Dienste vor Überlastung zu schützen. Viele NGINX-Kunden haben API-Gateways erfolgreich in den oben genannten Arten verteilter Umgebungen eingesetzt, mussten gleichzeitig jedoch beobachten, dass sich APIs als neuer Angriffsvektor herauskristallisierten. Laut dem Application Protection Report 2021 von F5 ereigneten sich fast zwei Drittel der API-Vorfälle, weil die APIs völlig ungeschützt waren – sie verfügten über keinerlei Authentifizierungs- oder Autorisierungsmechanismen.

Das NGINX Controller API Management Module bietet eine Vielzahl von Mechanismen zum Schutz Ihrer APIs, darunter:

  • Ratenbegrenzung – Ratenbegrenzungsrichtlinien schützen Ihre APIs vor Überlastung und mildern DDoS-Angriffe, indem sie eine Begrenzung für die Anzahl der Anfragen festlegen, die das API-Gateway in einem bestimmten Zeitraum von jedem API-Client akzeptiert. Dies trägt dazu bei, die Sicherheitslücke „Lack of Resources and Rate Limiting “ (API4) in den OWASP API Security Top 10 2019 zu beheben.
  • Authentifizierung und Autorisierung – Authentifizierungs- und Autorisierungsmechanismen stellen sicher, dass nur Clients mit den richtigen Zugriffsrechten Ihre APIs nutzen können. Ein solcher Mechanismus sind Ansprüche in JSON Web Tokens (JWTs). Dies hilft, drei Schwachstellen in den OWASP API Security Top 10 2019 zu beheben: Beschädigte Autorisierung auf Objektebene (API1), beschädigte Benutzerauthentifizierung (API2) und beschädigte Autorisierung auf Funktionsebene (API5).

Einführung des NGINX Controller App Security Add-Ons für API-Management

Jetzt können Sie Ihre API-Sicherheit mit dem NGINX Controller App Security-Add-on für das NGINX Controller API Management Module noch weiter steigern.

Verteilte API-Sicherheit in jeder Umgebung

Mit Controller App Security können Sie jetzt eine Web Application Firewall (WAF) bereitstellen, um Ihre APIs in einer verteilten Multi-Cloud-Umgebung zu schützen. Das Add-on ermöglicht die nahtlose Integration starker Sicherheit mit überall bereitgestellten NGINX-API-Gateways – in der öffentlichen Cloud, der privaten Cloud, auf Bare-Metal, in VMs oder Containern.

Getreu den „Kernwerten“ von NGINX ist Controller App Security leichtgewichtig, plattformunabhängig und leistungsstark. Wie erreichen wir Höchstleistungen? Die WAF befindet sich am selben Standort wie das NGINX-API-Gateway, sodass ein Hop weniger für den API-Verkehr erforderlich ist und sich Latenz und Komplexität verringern. Dies steht im krassen Gegensatz zu typischen API-Verwaltungslösungen, die nicht in eine WAF integriert sind. Sie müssen die WAF separat bereitstellen und sobald sie eingerichtet ist, muss der API-Verkehr die WAF und das API-Gateway separat durchlaufen. Die enge Integration von Controller App Security bedeutet hohe Leistung ohne Kompromisse bei der Sicherheit.

Controller App Security basiert auf der bewährten Sicherheitskompetenz von F5 und bietet sofort einsatzbereiten Schutz vor den Top 10-Schwachstellen der OWASP API Security sowie vor gängigen Schwachstellen wie SQL-Injection und Remote Command Execution (RCE). Das Add-on prüft auf fehlerhafte Cookies, JSON und XML und validiert außerdem zulässige Dateitypen und Antwortstatuscodes. Es gewährleistet die Einhaltung von HTTP-RFCs und erkennt Umgehungstechniken, die zum Maskieren von Angriffen verwendet werden.

Verbesserte Sichtbarkeit und Analyse

Controller App Security bietet eine Vielzahl von Messgrößen und Einblicken in verschiedene Angriffsarten. Dazu gehören die größten WAF-Bedrohungen und gezielten APIs, die wichtigsten Signaturen für Untersuchungen falsch positiver Ergebnisse, WAF-Ergebnisstatistiken und WAF-Verstoßereignisse. Diese Transparenzebene trägt dazu bei, die Sicherheitslücke „Unzureichende Protokollierung und Überwachung“ (API10) in den OWASP API Security Top 10 2019 zu beheben.

Die folgenden Screenshots veranschaulichen nur einige der Kennzahlen, die Sie verfolgen können:

  • Die Anzahl bestimmter Verstoßarten während der letzten drei Stunden im Vergleich zum gleichen Zeitraum des Vortages.

  • Die Durchsetzungsmodi, die während der letzten drei Stunden auf den API-Verkehr angewendet wurden.

  • Die häufigsten Angriffsarten der letzten sechs Stunden.

  • Protokoll der Sicherheitsereignisse der letzten 30 Minuten.

Flexible und fein abgestimmte Richtlinien

Controller App Security bietet Ihnen flexible, fein abgestimmte Kontrolle über Sicherheitsrichtlinien. Wie in diesem Screenshot gezeigt, können Sie sowohl den Blockierungs- als auch den Nur-Überwachungs-Erzwingungsmodus festlegen. Im zweiten Modus wird bösartiger Datenverkehr protokolliert, aber dennoch an den API-Server weitergeleitet. Sie können auch Standardsignaturen deaktivieren, um Fehlalarme zu reduzieren.

Dieser Screenshot zeigt eine Liste der Signaturen, die die meisten API-Aufrufe blockieren. Diese Informationen können Sie verwenden, um zu priorisieren, welche Signaturen Sie optimieren müssen, um Fehlalarme zu reduzieren.

DevOps-freundliche API-Sicherheit

Mit Controller App Security können Sie DevOps stärken, indem Sie Self-Service ermöglichen und betriebliche Engpässe zwischen Sicherheits- und DevOps-Teams beseitigen. Darüber hinaus unterstützen Sie die Automatisierung und integrieren die WAF nativ in CI/CD-Pipelines. Diese Funktionen fördern die Shift-Left-Bewegung , bei der Entwickler und DevOps-Teams Sicherheit früher im Softwareentwicklungszyklus (insbesondere während der Testphase) anwenden, indem sie sie in die CI/CD-Pipeline integrieren. Die API-Sicherheit wird nicht als nachträglicher Einfall behandelt – sie ist ein integraler Bestandteil des API-Entwicklungsprozesses, was zu weniger Problemen in der Produktion führt.

Möchten Sie NGINX Controller App Security für API Management ausprobieren? Laden Sie eine kostenlose 30-Tage-Testversion herunter oder kontaktieren Sie uns, um Ihre API-Sicherheitsanforderungen zu besprechen .

Weitere Blogbeiträge zu F5 NGINX lesen ›

„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."