AWS API Gateway セキュリティの強化: API 管理のベスト プラクティス

大量のAPI を効果的に管理および保護するには、多層ソリューションが必要です。 AWSユーザーにとって、Amazon API Gateway は、開発者があらゆる規模で API を作成、公開、保守、監視、保護できるようにする完全マネージド型サービスです。 API Gateway はさまざまなバックエンド統合をサポートし、コンテナ化、サーバーレス、従来のインスタンスベースのワークロードを可能にします。

ただし、セキュリティは AWS と顧客の間で共有される責任です。 AWS はインフラストラクチャとサービスの保護に責任を負いますが、顧客もデータとアプリケーションを保護する必要があります。

AWS では、次のセキュリティ設計原則を推奨しています。³

• 分散型サービス拒否（DDoS）攻撃の影響を軽減する
• Web アプリケーション ファイアウォール(WAF) を使用して検査と保護を実装する
• ほぼリアルタイムの監視による監査と追跡可能性の実現
• セキュリティのベストプラクティスを自動化
• 多層防御アプローチのためにすべてのレイヤーにセキュリティを適用する

AWS パートナーとして、F5 は Amazon API Gateway と連携してアプリと API を保護するセキュリティを提供します。 F5 BIG-IP Advanced WAFまたはF5 Distributed Cloud WAF は、 Amazon API Gateway または API サービスに到達しようとする悪意のあるトラフィックを識別できます。 WAF は Amazon API Gateway の前または後ろにデプロイできます。 ただし、ゲートウェイの前に展開すると、コストがかかる悪意のある API 呼び出しを防ぐという追加の利点があります。

F5 WAF ソリューションは、行動分析を使用して脅威を正確に識別し、レイヤー 7 DoS 軽減、アプリケーション レイヤー暗号化、脅威インテリジェンス サービスを提供します。 WAF を導入すると、OWASP Top 10 に含まれる攻撃を含む攻撃からアプリケーションと API を保護できます。

API 保護のもう 1 つの重要な要件は検出です。 F5 Distributed Cloud API Security をCI/CD パイプラインに統合して、開発プロセスを中断することなく API の変更をキャプチャします。 既存の API スキーマをアップロードして適切な API 動作を適用し、アプリ間および API 間のパターンに基づいてポリシーを自動的に生成します。 F5 Distributed Cloud API Security は接続も制御し、API トラフィックの異常な動作を監視して、疑わしいアクティビティをブロックします。

ボットはAPI セキュリティに対するもう一つの大きな脅威となります。 OWASP API セキュリティのトップ 10 の脅威のいくつかは、無制限のリソース消費や認証の破損など、ボットによって簡単に悪用される可能性のある弱点です。 F5 Distributed Cloud Bot Defense を追加すると、人間の専門家と機械学習を組み合わせて、正当なユーザーと役立つボットを許可しながら、悪意のあるボット トラフィックを検出できるようになります。