BLOG | NGINX

Fortaleciendo las API con seguridad avanzada

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Karthik Krishnaswamy
Karthik Krishnaswamy
Publicado el 9 de agosto de 2021

Si sigues las noticias tecnológicas, a menudo parecerá que "otro día, otra brecha de seguridad". Sin embargo, cada vez más, las infracciones toman la forma de ataques a las API. Ni siquiera estás seguro cuando tomas un descanso para hacer ejercicio: un investigador de seguridad descubrió recientemente que una API del proveedor de bicicletas fijas Peloton entregó datos de cuentas de usuario privadas en respuesta a solicitudes no autenticadas.

En el informe El estado de la estrategia de aplicação en 2021 de F5, el 58 % de los encuestados afirmó que está construyendo una capa de API para modernizar las aplicações. Con el auge de DevOps, la nube y los microservicios, las aplicações y las API que las sustentan deben ser compatibles con un entorno distribuido que incluye, entre otros:

  • Entornos locales, en la nube e híbridos
  • Entornos de desarrollo, prueba, preparación, sandbox y producción
  • API internas que fomentan la colaboración entre desarrolladores y desbloquean silos de datos
  • API externas que están expuestas a sus clientes, socios y desarrolladores externos

Las puertas de enlace de API median el tráfico de API enrutando solicitudes, autenticando y autorizando clientes de API y aplicando límites de velocidad para proteger los servicios basados en API de la sobrecarga. Muchos clientes de NGINX han implementado con éxito puertas de enlace API en los tipos de entornos distribuidos mencionados anteriormente, pero al mismo tiempo han visto surgir las API como un nuevo vector de ataque. Según el Informe de protección de aplicação de 2021 de F5, casi dos tercios de los incidentes de API ocurrieron porque las API estaban totalmente expuestas, es decir, no tenían ningún mecanismo de autenticación o autorización.

El módulo de administración de API del controlador NGINX proporciona una variedad de mecanismos para proteger sus API, incluidos:

  • Limitación de velocidad : las políticas de limitación de velocidad protegen sus API para que no se saturen y mitigan los ataques DDoS al establecer un límite en la cantidad de solicitudes que la puerta de enlace de API acepta de cada cliente de API en un período de tiempo determinado. Esto ayuda a abordar la vulnerabilidad de falta de recursos y limitación de velocidad (API4) en el OWASP API Security Top 10 2019 .
  • Autenticación y autorización : los mecanismos de autenticación y autorización garantizan que solo los clientes con los privilegios de acceso adecuados puedan consumir sus API. Uno de estos mecanismos son las reclamaciones en JSON Web Tokens (JWT). Esto ayuda a abordar tres vulnerabilidades en el OWASP API Security Top 10 2019 : Autorización a nivel de objeto roto (API1), Autenticación de usuario rota (API2) y Autorización a nivel de función rota (API5).

Presentamos el complemento de seguridad de la aplicación NGINX Controller para la gestión de API

Ahora puede mejorar aún más la seguridad de su API con el complemento NGINX Controller App Security para el módulo de administración de API de NGINX Controller.

Seguridad de API distribuida en cualquier entorno

Con Controller App Security, ahora puede implementar un firewall de aplicação web (WAF) para proteger sus API en un entorno distribuido de múltiples nubes. El complemento permite una integración perfecta de una seguridad sólida con las puertas de enlace de API NGINX implementadas en cualquier lugar: nube pública, nube privada, hardware, máquinas virtuales o contenedores.

Fiel a los “valores fundamentales” de NGINX, Controller App Security es liviano, independiente de la plataforma y de alto rendimiento. ¿Cómo logramos un alto rendimiento? El WAF está ubicado junto a la puerta de enlace API de NGINX, por lo que hay un salto menos para el tráfico API, lo que reduce tanto la latencia como la complejidad. Esto está en marcado contraste con las soluciones de gestión de API típicas, que no se integran con un WAF. Debe implementar el WAF por separado y, una vez configurado, el tráfico de la API debe atravesar el WAF y la puerta de enlace de la API por separado. La estrecha integración de Controller App Security significa un alto rendimiento sin comprometer la seguridad.

Basado en la experiencia comprobada en seguridad de F5, Controller App Security brinda protección inmediata contra las 10 principales vulnerabilidades de OWASP API Security, así como vulnerabilidades comunes como inyección SQL y ejecución remota de comandos (RCE). El complemento verifica cookies, JSON y XML malformados, y también valida los tipos de archivos permitidos y los códigos de estado de respuesta. Garantiza el cumplimiento de las RFC HTTP y detecta técnicas de evasión utilizadas para enmascarar ataques.

Visibilidad y análisis mejorados

Controller App Security proporciona una variedad de métricas y conocimientos sobre diferentes tipos de ataques. Estos incluyen las principales amenazas de WAF y las API específicas, las principales firmas de investigaciones de falsos positivos, estadísticas de resultados de WAF y eventos de violación de WAF. Este nivel de visibilidad ayuda a abordar la vulnerabilidad de registro y monitoreo insuficiente (API10) en el OWASP API Security Top 10 2019.

Las siguientes capturas de pantalla ilustran solo algunas de las métricas que puedes seguir:

  • El número de determinados tipos de infracciones durante las últimas tres horas, en comparación con el mismo período del día anterior.

  • Los modos de cumplimiento aplicados al tráfico de API durante las últimas tres horas.

  • Los principales tipos de ataques durante las últimas seis horas.

  • Registro de eventos de seguridad durante los últimos 30 minutos.

Políticas flexibles y ajustadas

Controller App Security le brinda un control flexible y preciso sobre las políticas de seguridad. Como se muestra en esta captura de pantalla, puede configurar modos de cumplimiento tanto de bloqueo como de solo monitoreo: en el segundo modo, el tráfico malicioso se registra, pero aún así se reenvía al servidor API. También puede deshabilitar las firmas predeterminadas para reducir los falsos positivos.

Esta captura de pantalla muestra una lista de las firmas que bloquean la mayoría de las llamadas a API, información que puede utilizar para priorizar qué firmas necesita ajustar para reducir los falsos positivos.

Seguridad de API compatible con DevOps

Controller App Security le permite potenciar DevOps al habilitar el autoservicio y eliminar cuellos de botella operativos entre los equipos de seguridad y DevOps, además de respaldar la automatización e integrar WAF de forma nativa en las canalizaciones de CI/CD. Estas capacidades impulsan el movimiento shift-left , en el que los desarrolladores y los equipos de DevOps aplican la seguridad más temprano en el ciclo de desarrollo de software (especialmente durante la fase de prueba) integrándola en el flujo de trabajo de CI/CD. La seguridad de la API no se trata como una ocurrencia de último momento: es una parte integral del proceso de desarrollo de la API, lo que genera menos problemas en la producción.

¿Quieres probar la seguridad de la aplicación NGINX Controller para la gestión de API? Descargue una prueba gratuita de 30 días o contáctenos para analizar sus necesidades de seguridad de API .

Leer más publicaciones de blog sobre F5 NGINX ›

"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.