高度なセキュリティでAPIを強化

テクノロジーに関するニュースをフォローしていると、「毎日、セキュリティ侵害が起きている」と感じることがよくあります。 しかし、侵害は API への攻撃という形をとることが増えています。 運動のために休憩を取っているときでも安全ではありません。セキュリティ研究者は最近、エアロバイクベンダーのPelotonの API が認証されていないリクエストに応答してユーザーのプライベート アカウント データを配信していることを発見しました。

F5 の「2021 年のアプリケーション戦略の現状」レポートでは、回答者の 58% が、アプリケーションを最新化するために API レイヤーを構築していると回答しています。 DevOps、クラウド、マイクロサービスの台頭により、アプリケーションとそれを支える API は、次のような分散環境全体でサポートされる必要があります (ただし、これらに限定されません)。

• オンプレミス、クラウド、ハイブリッド環境
• 開発、テスト、ステージング、サンドボックス、本番環境
• 開発者間のコラボレーションを促進し、データサイロを解消する内部API
• 顧客、パートナー、サードパーティの開発者に公開される外部API

API ゲートウェイは、リクエストのルーティング、API クライアントの認証と承認、レート制限の適用によって API トラフィックを仲介し、API ベースのサービスを過負荷から保護します。 多くの NGINX 顧客は、上記のような分散環境全体に API ゲートウェイを正常に導入してきましたが、同時に API が新たな攻撃ベクトルとして出現していることも認識しています。 F5 の2021 年アプリケーション保護レポートによると、API インシデントのほぼ 3 分の 2 は、API が完全に公開されていた (認証や承認のメカニズムがなかった) ために発生しました。

NGINX コントローラー API 管理モジュールは、次のような API を保護するためのさまざまなメカニズムを提供します。

• レート制限– レート制限ポリシーは、一定期間内に API ゲートウェイが各 API クライアントから受け入れるリクエストの数に制限を設定することで、API が過負荷になるのを防ぎ、DDoS 攻撃を軽減します。 これは、OWASP API セキュリティトップ 10 2019のリソース不足とレート制限(API4) の脆弱性に対処するのに役立ちます。
• 認証と承認– 認証と承認のメカニズムにより、適切なアクセス権限を持つクライアントだけが API を使用できるようになります。 そのようなメカニズムの 1 つは、JSON Web Token (JWT) のクレームです。 これにより、OWASP API セキュリティトップ 10 2019の 3 つの脆弱性に対処できます。 オブジェクト レベルの認証の破損(API1)、ユーザー認証の破損(API2)、および関数レベルの認証の破損(API5)。

API管理のためのNGINXコントローラーアプリセキュリティアドオンのご紹介

NGINX コントローラー API 管理モジュールの NGINX コントローラー アプリ セキュリティ アドオンを使用すると、API セキュリティをさらに強化できます。

あらゆる環境における分散APIセキュリティ

Controller App Security を使用すると、Web アプリケーション ファイアウォール (WAF) をデプロイして、マルチクラウドの分散環境全体で API を保護できるようになりました。 このアドオンにより、パブリック クラウド、プライベート クラウド、ベアメタル、VM、コンテナなど、どこにでも展開された NGINX API ゲートウェイと強力なセキュリティをシームレスに統合できます。

NGINX の「コアバリュー」に忠実に、Controller App Security は軽量で、プラットフォームに依存せず、高性能です。 どうすれば高いパフォーマンスを実現できるのでしょうか? WAF は NGINX API ゲートウェイと同じ場所に配置されており、API トラフィックのホップが 1 つ少なくなり、レイテンシと複雑さが軽減されます。 これは、WAF と統合されない一般的な API 管理ソリューションとはまったく対照的です。 WAF を別途導入する必要があり、セットアップ後は API トラフィックが WAF と API ゲートウェイを別々に通過する必要があります。 Controller App Security の緊密な統合により、セキュリティを損なうことなく高いパフォーマンスを実現します。

F5 の実証済みのセキュリティ専門知識に基づいて構築された Controller App Security は、OWASP API セキュリティ トップ 10 の脆弱性だけでなく、SQL インジェクションやリモート コマンド実行 (RCE) などの一般的な脆弱性に対しても、すぐに使用できる保護を提供します。 アドオンは、不正な形式の Cookie、JSON、XML をチェックし、許可されたファイルの種類と応答ステータス コードも検証します。 HTTP RFC への準拠を保証し、攻撃を隠すために使用される回避手法を検出します。

強化された可視性と分析

コントローラ アプリ セキュリティは、さまざまな攻撃タイプに関するさまざまなメトリックと分析情報を提供します。 これには、主要な WAF 脅威と対象となる API、誤検知調査の主要なシグネチャ、WAF 結果統計、WAF 違反イベントが含まれます。 このレベルの可視性は、OWASP API セキュリティ トップ 10 2019 の不十分なログ記録と監視の脆弱性 (API10) に対処するのに役立ちます。

次のスクリーンショットは、追跡できる指標の一部を示しています。

• 過去 3 時間における特定の違反タイプの数を、前日の同じ時間帯と比較した数値。

  

• 過去 3 時間に API トラフィックに適用された強制モード。

  

• 過去 6 時間のトップ攻撃タイプ。

  

• 過去 30 分間のセキュリティ イベントのログ。

  

柔軟できめ細かなポリシー

コントローラ アプリ セキュリティを使用すると、セキュリティ ポリシーを柔軟かつ細かく制御できます。 このスクリーンショットに示すように、ブロックと監視のみの強制モードの両方を設定できます。2 番目のモードでは、悪意のあるトラフィックはログに記録されますが、API サーバーに転送されます。 誤検知を減らすためにデフォルトの署名を無効にすることもできます。

このスクリーンショットには、最も多くの API 呼び出しをブロックしているシグネチャのリストが表示されています。この情報を使用して、誤検知を減らすために調整する必要があるシグネチャを優先順位付けできます。

DevOps に適した API セキュリティ

Controller App Security を使用すると、セルフサービスを有効にしてセキュリティ チームと DevOps チーム間の運用上のボトルネックを解消し、自動化をサポートして WAF を CI/CD パイプラインにネイティブに統合することで、DevOps を強化できます。 これらの機能により、開発者と DevOps チームがセキュリティを CI/CD パイプラインに統合することで、ソフトウェア開発サイクルの早い段階 (特にテストフェーズ) でセキュリティを適用するシフトレフトの動きが促進されます。 API セキュリティは後付けとして扱われるのではなく、API 開発プロセスの不可欠な部分であり、その結果、運用時の問題が減少します。

API 管理用の NGINX コントローラー アプリ セキュリティを試してみませんか? 30 日間の無料トライアルをダウンロードするか、 API セキュリティのニーズについてお問い合わせください。