Amélioration de la sécurité de la passerelle API AWS : Bonnes pratiques pour la gestion des API
Les API facilitent l’intégration de services, la connexion de données ou les mises à jour, c’est pourquoi elles sont si répandues dans les applications modernes. Alors que les organisations continuent de moderniser leurs portefeuilles d’applications, le nombre d’API utilisées devrait dépasser le milliard d’ici 2031.1 Le suivi, sans parler de la sécurisation, de toutes ces API constitue un défi, ce qui conduit les organisations à gérer un certain nombre d’API « fantômes » non gérées dans leur environnement.
Malheureusement, les attaquants ont réalisé que les API sont souvent une cible plus facile que les applications, comme le démontre le fait que 90 % des cyberattaques basées sur le Web ciblent les points de terminaison des API, selon l'analyse F5.2 Les API non gérées créent un risque particulier, car vous ne pouvez pas sécuriser ce que vous ne pouvez pas voir. De nombreuses API sont également créées par des équipes différentes, voire par d’autres sociétés que celles qui créent les applications, ce qui limite la visibilité sur les risques potentiels.
Naviguer dans les API et le modèle de responsabilité partagée
La gestion et la sécurisation efficaces de grands volumes d’ API nécessitent une solution multicouche. Pour les utilisateurs d'AWS , Amazon API Gateway est un service entièrement géré qui permet aux développeurs de créer, publier, maintenir, surveiller et sécuriser des API à n'importe quelle échelle. API Gateway prend en charge une variété d'intégrations back-end, permettant des charges de travail conteneurisées, sans serveur et basées sur des instances traditionnelles.
Cependant, la sécurité est une responsabilité partagée entre AWS et ses clients. Bien qu’AWS soit responsable de la protection de l’infrastructure et des services, les clients doivent également sécuriser leurs données et leurs applications.
AWS recommande les principes de conception de sécurité suivants.3
- Atténuer les effets des attaques par déni de service distribué (DDoS)
- Mettre en œuvre l'inspection et la protection à l'aide d'un pare-feu d'application Web (WAF)
- Activez l'audit et la traçabilité avec une surveillance en temps quasi réel
- Automatisez les meilleures pratiques de sécurité
- Appliquer la sécurité à tous les niveaux pour une approche de défense en profondeur
API sécurisées sur AWS avec F5
En tant que partenaire AWS, F5 offre une sécurité qui fonctionne avec Amazon API Gateway pour sécuriser vos applications et API. F5 BIG-IP Advanced WAF ou F5 Distributed Cloud WAF peut identifier le trafic malveillant tentant d'atteindre Amazon API Gateway ou vos services API. Vous pouvez déployer le WAF devant ou derrière Amazon API Gateway. Cependant, le déployer devant la passerelle présente l’avantage supplémentaire d’empêcher les appels d’API malveillants qui vous coûteront de l’argent.
Les solutions F5 WAF utilisent l'analyse comportementale pour identifier avec précision les menaces et fournir une atténuation des attaques DoS de couche 7, un cryptage de couche applicative et des services de renseignement sur les menaces. Le déploiement d'un WAF protège vos applications et API contre les attaques, y compris celles du Top 10 de l'OWASP.
Une autre exigence importante pour la protection des API est la découverte. Intégrez F5 Distributed Cloud API Security à votre pipeline CI/CD pour capturer les modifications d'API sans perturber le processus de développement. Téléchargez un schéma d'API existant pour appliquer un comportement d'API approprié et générer automatiquement des politiques basées sur des modèles d'application à application et d'API à API. F5 Distributed Cloud API Security contrôle également les connexions et surveille les comportements anormaux dans le trafic API, lui permettant de bloquer les activités suspectes.
Les robots constituent une autre menace majeure pour la sécurité des API. Plusieurs des 10 principales menaces de sécurité des API OWASP sont des faiblesses qui peuvent être facilement exploitées par des robots, telles qu'une consommation illimitée de ressources ou une authentification rompue. L'ajout de F5 Distributed Cloud Bot Defense permet une combinaison d'experts humains et d'apprentissage automatique pour détecter le trafic de robots malveillants tout en admettant les utilisateurs légitimes et les robots utiles.
Bénéficiez d'une sécurité API multicouche
F5 offre tout ce dont vous avez besoin pour protéger vos API avec F5 Distributed Cloud Web App and API Protection (WAAP), offrant une sécurité multicouche avec une gestion unifiée. Distributed Cloud WAAP apporte une sécurité cohérente à vos applications et API, quel que soit l'endroit où elles sont déployées : sur AWS, d'autres clouds publics ou privés, sur site ou en périphérie.
Retrouvez F5 Distributed Cloud WAAP sur AWS Marketplace , vous permettant d'ajouter facilement une protection et de maintenir votre part du modèle de responsabilité partagée.
En savoir plus sur les solutions F5 pour AWS sur f5.com/aws .
Sources
1. F5, Prolifération continue des API , novembre 2021
2. F5, F5 se déplace vers la gauche pour protéger les API , février 2024
3. Amazon, Présentation de la sécurité d'Amazon API Gateway : Livre blanc AWS, 2023