F5 金曜日: F5 と 3scale による API セキュリティ

サービス指向アーキテクチャ (SOA) が流行し、SOAP ベースの Web サービスが統合の主な手段であった頃、市場には SOA ゲートウェイのニーズが生じました。 これらのソリューションは、管理、バージョン管理、HTTP ルーティングなどを提供しました。 彼らが提供しなかったのは、少なくとも包括的ではなかったが、セキュリティだった。 そのために、SOA セキュリティ ゲートウェイが登場しました。

今日、API は大流行しており、RESTful で JSON ベースのサービスがモバイル アプリやクラウド ネイティブ アプリがデータを交換するための基盤を提供しています。 API には、セキュリティを含め、SOA ゲートウェイと同じ一連のサービスが必要です。 しかし、これまでの API ゲートウェイと同様に、ほとんどの API ゲートウェイはビジネスおよびアプリケーション固有の機能に重点を置いています。

3scale などの API ゲートウェイは、組織全体のメッセージを評価、変換、保護します。 バージョン管理、レート制限、支払いゲートウェイとの統合などのビジネス重視の機能のサポートを提供します。 ダッシュボードは、開発者にパフォーマンスと使用状況のビューを提供します。

しかし、API ゲートウェイは必ずしも包括的なセキュリティ カバレッジを提供するわけではありません。 DoS 保護、悪意のあるコンテンツの検出、ボットのブロックは、高度な WAF などのセキュリティ サービスの範囲です。 これら 2 つを組み合わせることで、セキュリティの水準が引き上げられ、API の整合性に対する信頼が向上します。

組織の 60% が、あらゆる開発者が利用できるパブリック API ( State of API Integration 2018、Cloud Elements ) を提供していることを考えると、これは特に重要です。 開発者はチャンスを広げる上では良い存在かもしれませんが、同時に悪意を持った人々による攻撃に対してもビジネスを開放することになります。

F5 は 3scale と提携し、顧客が包括的に安全なアプリケーション環境を利用できるようにしています。 3scale API ゲートウェイの前にF5 Advanced WAF を重ねることで、IP インテリジェンスを使用して脅威をより迅速かつ正確に特定する機能、内部または外部に安全な API ファサードを提供する機能、さまざまなアプリケーション層攻撃に対する保護など、追加のセキュリティ対策のメリットを享受できます。

API が内部と外部の両方における統合の主な手段として中心的な役割を果たすようになるにつれて、これはますます重要になります。 2018年のフォーブスの記事では次のように述べられています。

過去数ヶ月間でAPIの問題により顧客情報を漏洩した有名企業のリストには、オンライン小売大手のAmazon 、通信会社のT-Mobile 、食品小売業者のPanera Bread 、セキュリティカンファレンスのBlack Hatなどが含まれている。

これは誰もが望まないリストです。そのため、当社は 3scale と提携してこのソリューションを市場に投入しました。

F5 Advanced WAF が 3scale と連携して API を保護する仕組みの詳細については、このソリューション概要をご覧ください。