F5 Vendredi : Sécurité des API avec F5 et 3scale

À l'époque où les architectures orientées services (SOA) étaient à la mode et que les services Web basés sur SOAP étaient le principal moyen d'intégration, un besoin de passerelles SOA est apparu sur le marché. Ces solutions offraient la gestion, le contrôle de version, le routage HTTP et bien plus encore. Ce qu’ils n’offraient pas – du moins pas de manière exhaustive – c’était la sécurité. Pour cela, nous avons assisté à l’essor des passerelles de sécurité SOA.

Aujourd’hui, les API sont à la mode et les services RESTful basés sur JSON fournissent l’épine dorsale des applications mobiles et cloud natives pour échanger des données. Les API ont besoin du même ensemble de services que les passerelles SOA, y compris la sécurité. Mais comme leurs prédécesseurs, la plupart des passerelles API se concentrent sur des fonctionnalités métier et spécifiques aux applications.

Les passerelles API comme 3scale évaluent, transforment et sécurisent les messages dans toute une organisation. Ils fournissent un support pour le contrôle de version, la limitation du débit et les fonctions axées sur l'entreprise telles que l'intégration avec les passerelles de paiement. Les tableaux de bord offrent aux développeurs une vue des performances et de l'utilisation.

Mais les passerelles API n’offrent pas nécessairement une couverture de sécurité complète. La protection DoS, la détection de contenu malveillant et le blocage des robots sont du ressort de services de sécurité tels qu'un WAF avancé. En associant les deux, vous élevez la barre en matière de sécurité et augmentez la confiance dans l’intégrité de vos API.

Ceci est particulièrement important si l’on considère que 60 % des organisations proposent une API publique ( State of API Integration 2018, Cloud Elements ) accessible à tout développeur. N’importe quel développeur peut être une bonne chose pour ouvrir des opportunités, mais cela expose également l’entreprise aux attaques de ceux qui ont des intentions malveillantes.

F5 s'est associé à 3scale pour permettre aux clients de profiter d'un environnement applicatif entièrement sécurisé. En superposant un WAF avancé F5 devant une passerelle API 3scale, vous pouvez bénéficier de mesures de sécurité supplémentaires qui incluent l'utilisation de l'intelligence IP pour identifier les menaces plus rapidement et plus précisément, la possibilité d'offrir une façade API sécurisée en interne ou en externe et une protection contre une variété d'attaques de la couche applicative.

Cela devient de plus en plus important à mesure que les API occupent une place centrale en tant que principal moyen d’intégration à la fois interne et externe. Comme indiqué dans un article de Forbes en 2018 :

La liste des entreprises de premier plan qui ont exposé des informations sur leurs clients en raison de problèmes d'API au cours des derniers mois seulement comprend le géant de la vente au détail en ligne Amazon , l'opérateur de télécommunications T-Mobile , le détaillant alimentaire Panera Bread et la conférence sur la sécurité Black Hat.

Ce n’est pas une liste sur laquelle vous souhaitez vous retrouver, et c’est pourquoi nous nous sommes associés à 3scale pour mettre cette solution sur le marché.

Vous pouvez en savoir plus sur la manière dont F5 Advanced WAF fonctionne avec 3scale pour protéger les API dans cette présentation des solutions .