Multi-Cloud-API-Sicherheit mit NGINX und F5 Distributed Cloud WAAP

Die Frage ist nicht mehr, ob Sie in der Cloud sind, sondern in wie vielen Clouds Sie sich befinden. Die meisten Unternehmen sind sich heute darüber im Klaren, dass es keine einheitliche Cloud-Lösung gibt, und sind zu einer Hybrid- oder Multi-Cloud-Architektur übergegangen. Laut Daten aus dem Bericht „State of Application Strategy in 2023“ von F5 betreiben 85 % der Unternehmen Anwendungen mit zwei oder mehr unterschiedlichen Architekturen.

Für Entwicklungs- und API-Teams bedeutet dies großen Druck. Ihre Aufgabe ist die sichere Bereitstellung von APIs im großen Maßstab in komplexen, verteilten Umgebungen. Verbindungen bestehen nicht mehr nur zwischen Clients und Backend-Diensten, sondern jetzt zwischen Anwendungen, die in verschiedenen Clouds, Regionen, Rechenzentren oder an Edge-Standorten bereitgestellt werden. Gleichzeitig muss jede API die Sicherheits- und Compliance-Anforderungen der Organisation erfüllen, unabhängig davon, wo sie bereitgestellt wird und welche Tools für die Bereitstellung und Sicherung verwendet werden.

Das Sichern von APIs in diesen hochgradig verteilten Umgebungen erfordert eine Reihe einzigartiger Funktionen und Best Practices. Ich habe zuvor über die Bedeutung eines zweigleisigen Ansatzes für die API-Sicherheit geschrieben: „Shifting Left“, um Sicherheit von Anfang an einzubauen, und „Abschirmung rechts“ mit einer Reihe von Praktiken zur globalen Haltungsverwaltung. In diesem Blogbeitrag sehen wir uns an, wie Sie diese Strategie in die Praxis umsetzen und gleichzeitig APIs sicher in Cloud-, lokalen und Edge-Umgebungen bereitstellen können.

Referenzarchitektur für die Sicherheit von Hybrid- und Multi-Cloud-APIs

Hybrid- und Multi-Cloud-Architekturen bieten viele klare Vorteile – insbesondere in Bezug auf Agilität, Skalierbarkeit und Ausfallsicherheit. Allerdings fügen sie eine zusätzliche Komplexitätsebene hinzu. Tatsächlich zeigte der Bericht „State of Application Strategy in 2023“ von F5, dass die zunehmende Komplexität heute die häufigste Herausforderung darstellt, mit der Unternehmen konfrontiert sind. Die zweithäufigste Herausforderung? Konsequente Sicherheit anwenden.

Das Problem besteht heute darin, dass einigen Sicherheitslösungen, etwa bestimmten WAFs , der Kontext und Schutz fehlt, den APIs benötigen. Gleichzeitig fehlt dedizierten API-Sicherheitslösungen die Möglichkeit, Richtlinien zum Stoppen von Angriffen zu erstellen und durchzusetzen. Sie benötigen eine Lösung, die Ihre Architektur und Technologie als einen vernetzten Stapel behandelt, der Erkennung, Beobachtung, Verwaltung und Durchsetzung umfasst.

In der Praxis muss die API-Sicherheit auf drei Ebenen integriert werden, um Schutz zu bieten, wenn der API-Verkehr kritische Infrastrukturpunkte durchläuft:

• Globale Ebene – Edge-Schutz vor Bot- und DoS-Angriffen sowie Erkennung und Sichtbarkeit
• Site-Tier – Schutz innerhalb einer einzelnen Cloud, eines Rechenzentrums oder einer Edge-Bereitstellung
• App-Ebene – Feinkörnige Zugriffskontrolle und Bedrohungsschutz, bereitgestellt in der Nähe der API-Laufzeit

Die folgende Referenzarchitektur bietet einen Überblick darüber, wie F5 Distributed Cloud Services und F5 NGINX zusammenarbeiten, um umfassenden API-Schutz in Multi-Cloud- und Hybridarchitekturen zu bieten:

In dieser Referenzarchitektur bietet F5 Distributed Cloud eine globale Schutzebene für Edge-, Cloud- und lokale Bereitstellungen. NGINX Plus mit NGINX App Protect WAF bietet feinkörnigen Schutz auf Site-Ebene und/oder App-Ebene durch Integration in Softwareentwicklungslebenszyklen, um die Laufzeitsicherheit zu erzwingen.

Sehen wir uns die Sicherheitsvorkehrungen an, die jede Komponente dieser Architektur bietet.

API-Erkennung und -Überwachung mit F5 Distributed Cloud

Zunächst durchläuft der API-Verkehr von öffentlichen Clients die am Edge bereitgestellte F5 Distributed Cloud Web Application and API Protection (WAAP) . Entscheidend ist, dass dies einen globalen Schutz vor DDoS-Angriffen , Bot-Missbrauch und anderen Exploits bietet. Darüber hinaus bietet es wichtige globale Einblicke in den API-Verkehr, der in verschiedene Clouds, lokale Rechenzentren und Edge-Bereitstellungen gelangt.

Der API-Verkehr nimmt schnell zu und die meisten API-Angriffe entfalten sich langsam über Wochen oder sogar Monate. Das Auffinden bösartigen Datenverkehrs in der Flut regulärer API-Anfragen und -Antworten kann wie die Suche nach der Nadel im Heuhaufen sein. Um dieses Problem zu lösen, verwendet F5 Distributed Cloud künstliche Intelligenz (KI) und maschinelles Lernen (ML), um Einblicke in den API-Verkehr zu generieren, einschließlich API-Erkennung, Endpunkt-Mapping und aktivem Lernen und Erkennen von Anomalien, die aufkommende Bedrohungen darstellen könnten.

Als globale Ebene der App- und API-Sicherheit bietet F5 Distributed Cloud WAAP die folgenden Vorteile:

• Automatische API- Erkennung – Erkennt und ordnet APIs zu, um einen vollständigen Einblick in Ihr Ökosystem zu erhalten, einschließlich Einblick in Drittanbieter- und Schatten-APIs, Authentifizierungsstatus und mehr.
• Schutz vor dem Auslaufen vertraulicher Daten – Erkennt, charakterisiert und maskiert vertrauliche Daten wie Sozialversicherungsnummern, Kreditnummern und andere personenbezogene Daten (PII), damit diese nicht offengelegt werden.
• Überwachung und Anomalieerkennung – Überprüft und analysiert kontinuierlich den Datenverkehr, um mit KI- und ML-Tools Anomalien und Schwachstellen zu erkennen.
• Verbesserte API-Sichtbarkeit – Beobachtet, wie der Datenverkehr über alle API-Endpunkte fließt, um die Konnektivität zwischen Edge-APIs, internen Diensten und Integrationen von Drittanbietern zu verstehen.
• Erzwungene Sicherheit in allen Umgebungen – Verwendet ein positives Sicherheitsmodell durch die Durchsetzung von Schemavalidierung, Ratenbegrenzung und Blockierung unerwünschten oder böswilligen Datenverkehrs.

Um mit F5 Distributed Cloud WAAP zu beginnen, können Sie eine kostenlose Unternehmenstestversion von F5 Distributed Cloud Services anfordern, die API-Sicherheit, Bot-Abwehr, Edge-Computing und Multi-Cloud-Netzwerke umfasst.

Zugriffskontrolle und Laufzeitschutz mit F5 NGINX

Sobald der API-Verkehr durch die globale Ebene fließt, erreicht er die Site-Ebene und/oder die App-Ebenen. Während die globale Ebene normalerweise von IT-Netzwerk- und Sicherheitsteams verwaltet wird, werden einzelne APIs in der Site- und App-Ebene von Softwareentwicklungsteams erstellt und verwaltet.

Wenn es um die Zugriffskontrolle geht, ist ein API-Gateway eine häufige Wahl, da es Entwicklern ermöglicht, einige der häufigsten Sicherheitsanforderungen auf eine gemeinsame Infrastrukturebene über der Anwendung auszulagern. Dadurch wird doppelter Aufwand vermieden (z. B. wenn jeder Entwickler oder jedes Team seinen eigenen Authentifizierungs- und Autorisierungsdienst erstellt).

Mit dem API Connectivity Manager der F5 NGINX Management Suite können Plattformentwicklungs- und DevOps-Teams Zugriff auf gemeinsame Infrastrukturen wie API-Gateways und Entwicklerportale gewähren, ohne dass Entwickler Anforderungstickets und andere umständliche Systeme ausfüllen müssen.

Mit API Connectivity Manager können Sie Sicherheitsrichtlinien festlegen, um NGINX Plus als API-Gateway zu konfigurieren und NGINX App Protect WAF-Richtlinien zu konfigurieren und zu überwachen. Zusammen bieten sie einen wichtigen API-Laufzeitschutz, einschließlich der Möglichkeit:

• Zugriffskontrolle erzwingen – Verwalten Sie den detaillierten Zugriff (Authentifizierung und Autorisierung) auf API-Endpunkte und erstellen Sie Zugriffskontrolllisten, um Datenverkehr basierend auf IP-Adressen oder JWT-Ansprüchen zuzulassen oder zu verweigern.
• Verschlüsseln und maskieren Sie vertrauliche Daten – Sichern Sie die Kommunikation zwischen APIs mit mTLS und Ende-zu-Ende-Verschlüsselung und erkennen und maskieren Sie vertrauliche Daten wie Kreditkartennummern in API-Antworten.
• Bedrohungen erkennen und blockieren – Gehen Sie über den Schutz durch die OWASP API Security Top 10 hinaus und bieten Sie erweiterten Schutz vor mehr als 7.500 Bedrohungskampagnen und Angriffssignaturen.
• Überwachen Sie WAFs und API-Verkehr im großen Maßstab – Visualisieren Sie den API-Verkehr über alle Ihre API-Gateways mit NGINX App Protect WAF, um Fehlalarme und potenzielle Bedrohungen zu erkennen.

Sie können eine kostenlose 30-Tage-Testversion des NGINX API Connectivity Stack starten, um auf die NGINX Management Suite und ihre Module API Connectivity Manager, Instance Manager und Security Monitoring sowie auf NGINX Plus als API-Gateway und NGINX App Protect für WAF- und DoS-Schutz zuzugreifen.

Abschluss

NGINX bietet hervorragenden Laufzeitschutz in Cloud- und lokalen Rechenzentrumsumgebungen. In Kombination mit F5 Distributed Cloud erhalten Sicherheits- und Plattformentwicklungsteams kontinuierliche Transparenz in API-Endpunkte, unabhängig davon, wo die zugehörigen Apps bereitgestellt werden. Zusammen bieten F5 Distributed Cloud und NGINX die vollständige Flexibilität, Ihre Architektur ganz nach Bedarf aufzubauen und zu sichern. 

Weitere Ressourcen

• Lösungsübersicht: API-Sicherheit für moderne Anwendungen mit F5 NGINX
• Technisches Whitepaper: F5 Distributed Cloud WAAP mit umfassender API-Sicherheit
• E-Book: API-Strategie: Best Practices für Führungskräfte im Plattform-Engineering
• E-Book: Sicherheit als Code
• Blog: Verhindern Sie API-Angriffe mit wichtigen Tools und Best Practices für die API-Sicherheit