Renforcer les API avec une sécurité avancée

Si vous suivez l’actualité technologique, vous avez souvent l’impression que « un autre jour, une autre faille de sécurité ». Cependant, de plus en plus, les violations prennent la forme d’attaques sur les API. Vous n'êtes pas en sécurité même lorsque vous faites une pause pour faire de l'exercice – un chercheur en sécurité a récemment découvert qu'une API du fournisseur de vélos stationnaires Peloton fournissait des données de compte utilisateur privées en réponse à des requêtes non authentifiées !

Dans le rapport « The State of Application Strategy in 2021 » de F5, 58 % des répondants ont déclaré qu'ils construisaient une couche d'API pour moderniser les applications. Avec l'essor de DevOps, du cloud et des microservices, les applications et les API qui les sous-tendent doivent être prises en charge dans un environnement distribué qui comprend, sans s'y limiter :

• Environnements sur site, cloud et hybrides
• Environnements de développement, de test, de préparation, de sandbox et de production
• Des API internes qui favorisent la collaboration entre les développeurs et débloquent des silos de données
• API externes exposées à vos clients, partenaires et développeurs tiers

Les passerelles API assurent la médiation du trafic API en acheminant les requêtes, en authentifiant et en autorisant les clients API et en appliquant des limites de débit pour protéger les services basés sur API contre les surcharges. De nombreux clients NGINX ont déployé avec succès des passerelles API dans les types d’environnements distribués mentionnés ci-dessus, mais ont en même temps vu les API émerger comme un nouveau vecteur d’attaque. Selon le rapport 2021 sur la protection des applications de F5, près des deux tiers des incidents liés aux API se sont produits parce que les API étaient totalement exposées : elles ne disposaient d'aucun mécanisme d'authentification ou d'autorisation.

Le module de gestion des API du contrôleur NGINX fournit une variété de mécanismes pour protéger vos API, notamment :

• Limitation du débit – Les politiques de limitation du débit protègent vos API contre les surcharges et atténuent les attaques DDoS en définissant une limite au nombre de requêtes que la passerelle API accepte de chaque client API sur une période donnée. Cela permet de résoudre la vulnérabilité du manque de ressources et de la limitation de débit (API4) dans le Top 10 2019 de la sécurité des API OWASP .
• Authentification et autorisation – Les mécanismes d’authentification et d’autorisation garantissent que seuls les clients disposant des privilèges d’accès appropriés peuvent consommer vos API. L’un de ces mécanismes est celui des revendications dans les jetons Web JSON (JWT). Cela permet de remédier à trois vulnérabilités dans le Top 10 2019 de la sécurité des API OWASP : Autorisation au niveau de l'objet rompu (API1), authentification de l'utilisateur rompu (API2) et autorisation au niveau de la fonction rompu (API5).

Présentation du module complémentaire de sécurité des applications NGINX Controller pour la gestion des API

Vous pouvez désormais renforcer encore davantage la sécurité de votre API avec le module complémentaire NGINX Controller App Security pour le module de gestion des API NGINX Controller.

Sécurité des API distribuées dans n'importe quel environnement

Avec Controller App Security, vous pouvez désormais déployer un pare-feu d’application Web (WAF) pour protéger vos API dans un environnement multicloud distribué. Le module complémentaire permet une intégration transparente d'une sécurité renforcée avec les passerelles API NGINX déployées n'importe où : cloud public, cloud privé, bare-metal, machines virtuelles ou conteneurs.

Fidèle aux « valeurs fondamentales » de NGINX, Controller App Security est léger, indépendant de la plate-forme et très performant. Comment atteindre des performances élevées ? Le WAF est colocalisé avec la passerelle API NGINX, ce qui réduit le trafic API en un seul saut, réduisant ainsi la latence et la complexité. Cela contraste fortement avec les solutions de gestion d’API classiques, qui ne s’intègrent pas à un WAF. Vous devez déployer le WAF séparément et, une fois configuré, le trafic API doit traverser le WAF et la passerelle API séparément. L’intégration étroite de Controller App Security signifie des performances élevées sans compromettre la sécurité.

S'appuyant sur l'expertise éprouvée de F5 en matière de sécurité, Controller App Security offre une protection prête à l'emploi contre les 10 principales vulnérabilités de sécurité des API OWASP, ainsi que contre les vulnérabilités courantes telles que l'injection SQL et l'exécution de commandes à distance (RCE). Le module complémentaire vérifie les cookies mal formés, JSON et XML, et valide également les types de fichiers autorisés et les codes d’état de réponse. Il garantit la conformité avec les RFC HTTP et détecte les techniques d'évasion utilisées pour masquer les attaques.

Visibilité et analyses améliorées

Controller App Security fournit une variété de mesures et d'informations sur différents types d'attaques. Il s'agit notamment des principales menaces WAF et des API ciblées, des principales signatures pour les enquêtes sur les faux positifs, des statistiques sur les résultats du WAF et des événements de violation du WAF. Ce niveau de visibilité permet de résoudre la vulnérabilité de journalisation et de surveillance insuffisantes (API10) dans le Top 10 2019 de la sécurité des API OWASP.

Les captures d’écran suivantes illustrent quelques-unes des mesures que vous pouvez suivre :

• Le nombre de types de violations particulières au cours des trois dernières heures, par rapport à la même période du jour précédent.

  

• Les modes d’application appliqués au trafic API au cours des trois dernières heures.

  

• Les principaux types d’attaques au cours des six dernières heures.

  

• Journal des événements de sécurité au cours des 30 dernières minutes.

  

Des politiques flexibles et adaptées

Controller App Security vous offre un contrôle flexible et précis des politiques de sécurité. Comme indiqué dans cette capture d'écran, vous pouvez définir les modes d'application de blocage et de surveillance uniquement. Dans le deuxième mode, le trafic malveillant est enregistré mais toujours transmis au serveur API. Vous pouvez également désactiver les signatures par défaut pour réduire les faux positifs.

Cette capture d'écran affiche une liste des signatures qui bloquent le plus d'appels d'API, des informations que vous pouvez utiliser pour hiérarchiser les signatures que vous devez ajuster pour réduire les faux positifs.

Sécurité des API compatible avec DevOps

Controller App Security vous permet de renforcer DevOps en activant le libre-service et en supprimant les goulots d’étranglement opérationnels entre les équipes de sécurité et DevOps, ainsi qu’en prenant en charge l’automatisation et en intégrant le WAF de manière native dans les pipelines CI/CD. Ces fonctionnalités font progresser le mouvement de glissement vers la gauche , dans lequel les développeurs et les équipes DevOps appliquent la sécurité plus tôt dans le cycle de développement logiciel (en particulier pendant la phase de test) en l’intégrant dans le pipeline CI/CD. La sécurité des API n'est pas considérée comme une considération ultérieure : elle fait partie intégrante du processus de développement des API, ce qui entraîne moins de problèmes en production.

Vous souhaitez essayer NGINX Controller App Security pour la gestion des API ? Téléchargez un essai gratuit de 30 jours ou contactez-nous pour discuter de vos besoins en matière de sécurité API .