Mejora de la seguridad de AWS API Gateway: Mejores prácticas para la gestión de API
Las API facilitan la integración de servicios, la conexión de datos o la realización de actualizaciones, por lo que son tan frecuentes en las aplicações modernas. A medida que las organizaciones continúan modernizando sus carteras de aplicaciones, se proyecta que la cantidad de API en uso superará los mil millones para 2031.1 Hacer seguimiento (y mucho menos proteger) de todas esas API es un desafío, lo que lleva a las organizaciones a lidiar con una cantidad de API “en la sombra” no administradas en su entorno.
Lamentablemente, los atacantes se han dado cuenta de que las API suelen ser un objetivo más fácil que las aplicações, como lo demuestra el hecho de que el 90% de los ciberataques basados en la web tienen como objetivo los puntos finales de las API, según el análisis de F5.2 Las API no administradas generan un riesgo particular, ya que no se puede proteger lo que no se puede ver. Muchas API también son desarrolladas por equipos diferentes o incluso por empresas distintas de las que desarrollan las aplicaciones, lo que limita la visibilidad de los riesgos potenciales.
Navegando por las API y el modelo de responsabilidad compartida
Para gestionar y proteger eficazmente grandes volúmenes de API se necesita una solución de varias capas. Para los usuarios de AWS , Amazon API Gateway es un servicio completamente administrado que permite a los desarrolladores crear, publicar, mantener, monitorear y proteger API a cualquier escala. API Gateway admite una variedad de integraciones de backend, lo que permite cargas de trabajo en contenedores, sin servidor y basadas en instancias tradicionales.
Sin embargo, la seguridad es una responsabilidad compartida entre AWS y sus clientes. Si bien AWS es responsable de proteger la infraestructura y los servicios, los clientes también deben proteger sus datos y aplicações.
AWS recomienda los siguientes principios de diseño de seguridad.3
- Mitigar los efectos de los ataques de denegación de servicio distribuido (DDoS)
- Implementar la inspección y protección mediante un firewall de aplicação web (WAF)
- Habilite la auditoría y la trazabilidad con monitoreo casi en tiempo real
- Automatizar las mejores prácticas de seguridad
- Aplicar seguridad en todas las capas para un enfoque de defensa en profundidad
API seguras en AWS con F5
Como socio de AWS, F5 ofrece seguridad que funciona con Amazon API Gateway para proteger sus aplicaciones y API. F5 BIG-IP Advanced WAF o F5 Distributed Cloud WAF pueden identificar tráfico malicioso que intenta llegar a Amazon API Gateway o a sus servicios API. Puede implementar el WAF delante o detrás de Amazon API Gateway. Sin embargo, implementarlo frente a la puerta de enlace tiene el beneficio adicional de evitar llamadas API maliciosas que le costarán dinero.
Las soluciones F5 WAF utilizan análisis de comportamiento para identificar amenazas con precisión y brindar mitigación de DoS de capa 7, cifrado de capa de aplicación y servicios de inteligencia de amenazas. La implementación de un WAF protege sus aplicações y API contra ataques, incluidos aquellos incluidos en el Top 10 de OWASP.
Otro requisito importante para la protección de la API es el descubrimiento. Integre F5 Distributed Cloud API Security con su canalización CI/CD para capturar cambios de API sin interrumpir el proceso de desarrollo. Cargue un esquema de API existente para aplicar un comportamiento de API adecuado y generar automáticamente políticas basadas en patrones de aplicación a aplicación y de API a API. F5 Distributed Cloud API Security también controla las conexiones y monitorea el comportamiento anómalo en el tráfico de API, lo que le permite bloquear actividades sospechosas.
Los bots representan otra amenaza importante para la seguridad de la API. Varias de las 10 principales amenazas a la seguridad de la API de OWASP son debilidades que los bots pueden explotar fácilmente, como el consumo ilimitado de recursos o la autenticación rota. La incorporación de F5 Distributed Cloud Bot Defense permite una combinación de expertos humanos y aprendizaje automático para detectar tráfico de bots maliciosos y, al mismo tiempo, admitir usuarios legítimos y bots útiles.
Obtenga seguridad de API multicapa
F5 ofrece todo lo que necesita para proteger sus API con F5 Distributed Cloud Web App and API Protection (WAAP), que proporciona seguridad de múltiples capas con administración unificada. Distributed Cloud WAAP brinda seguridad consistente a sus aplicaciones y API sin importar dónde estén implementadas: en AWS, otras nubes públicas o privadas, en las instalaciones o en el borde.
Encuentre F5 Distributed Cloud WAAP en AWS Marketplace , lo que le permitirá agregar protección fácilmente y cumplir con su parte del modelo de responsabilidad compartida.
Obtenga más información sobre las soluciones F5 para AWS en f5.com/aws .
Fuentes
1.F5, Expansión continua de API , noviembre de 2021
2.F5 se está moviendo a la izquierda para proteger las API , febrero de 2024
3.Amazon, descripción general de seguridad de Amazon API Gateway: Informe técnico de AWS, 2023