Proteja seu API Gateway com o NGINX App Protect WAF

À medida que os monólitos migram para microsserviços, os aplicativos são desenvolvidos mais rápido do que nunca. A velocidade é necessária para permanecer competitivo e as APIs estão na vanguarda desses esforços de rápida modernização. Mas a popularidade das APIs para modernização de aplicativos tem implicações significativas para a segurança dos aplicativos. As APIs são alvos de ataques vulneráveis, expondo a lógica do aplicativo e dados confidenciais a outros aplicativos ou terceiros. À medida que o uso da API cresce, também aumenta a necessidade de gateways de API.

De acordo com o Relatório de Estratégia de Aplicação de 2021 da F5, as organizações estão usando vários métodos para se modernizar, e as APIs lideram esses esforços de modernização:

• 58% estão adicionando uma camada de APIs para habilitar interfaces de usuário modernas
• 51% estão adicionando componentes de aplicativos modernos (por exemplo, Kubernetes)
• 47% estão refatorando (modificando o próprio código do aplicativo)
• 40% estão migrando para a nuvem pública (elevação e mudança) sem modernização

À medida que as organizações crescem, elas podem mitigar os riscos de API adotando um gateway de API. No Relatório de Estratégia de Aplicação de 2022 atualizado da F5, vemos que os gateways de API apresentam melhor desempenho na borda ou próximo a ela. Aqui, os gateways de API podem interromper ataques antes que eles afetem toda a rede, fornecendo proteção uniforme e consistente para diversas APIs. Os gateways de API encapsulam a estrutura interna de um aplicativo, simplificando a comunicação entre o cliente e a API. Em vez de invocar serviços específicos, os clientes simplesmente se conectam ao gateway de API. Isso fornece ao cliente uma API específica, reduz o número de viagens de ida e volta entre o cliente e a API e simplifica o código do cliente.

Os clientes do F5 NGINX implantaram com sucesso gateways de API em ambientes distribuídos. Mas se o seu gateway de API não for seguro, pessoas mal-intencionadas ainda poderão passar. Na NGINX, temos ferramentas de segurança robustas para garantir que seus aplicativos por trás de gateways de API permaneçam seguros neste cenário em constante mudança.

Mais APIs significam mais superfície de ataque

APIs não são novidade. As APIs baseadas na Web remontam à década de 1990, e versões de APIs já existiam antes da Internet que conhecemos hoje, como comunicação entre pequenas redes distribuídas. O que estamos vendo agora – o que mudou o jogo – são as arquiteturas modernas usando APIs.

Embora as APIs desempenhem um papel vital na aceleração da modernização, elas estão se tornando mais fáceis de explorar. Em arquiteturas de microsserviços, uma única API pode ter centenas de endpoints e um único aplicativo pode consistir em muitos microsserviços que usam APIs para se conectar entre si. Isso é diferente dos aplicativos monolíticos do passado, onde havia apenas um ponto de entrada a ser protegido. Com cada microsserviço expondo vários conjuntos de endpoints de API, a superfície potencial de ataque se multiplicou por dez.

O relatório de 2022 da F5 também descobriu que a maioria das organizações tem entre 200 e 1.000 aplicativos e 77% executam aplicativos em várias nuvens. Quanto mais aplicativos e APIs forem adicionados a um portfólio em ambientes distribuídos, maior será sua possível superfície de ataque.

As 10 principais vulnerabilidades de segurança da API OWASP

Caracteristicamente, as APIs são abertas e podem expor dados confidenciais. O Open Web Application Security Project (OWASP) destaca as vulnerabilidades mais prevalentes em seu projeto OWASP API Security Top 10 :

Os negócios de hoje exigem agilidade e velocidade à medida que os ciclos de desenvolvimento se aceleram. Soluções de segurança neste cenário vulnerável e orientado por API devem ser adaptáveis, leves e incorporadas como parte dos processos de implantação automatizados de uma API.

Inicie sua segurança de API com F5 NGINX Plus

Ataques de alto perfil à API frequentemente ganham manchetes. Em 2019, a empresa de transporte compartilhado Uber teve um bug crítico descoberto em sua API : um ponto de extremidade de API vulnerável permitiu que criminosos roubassem dados valiosos, incluindo os tokens de autenticação dos passageiros. Felizmente, esse bug foi descoberto antes que qualquer dano ocorresse. Em 2021, o LinkedIn não teve tanta sorte: devido a uma vulnerabilidade de API, hackers violaram dados pertencentes a mais de 700 milhões de usuários do LinkedIn , que foram então oferecidos para venda na dark web.

Ao implantar o F5 NGINX Plus como seu gateway de API , você pode entrar nesse cenário de API rápida com alto desempenho ao lidar com roteamento e entrega de API. A GigaOm, uma empresa independente de pesquisa e análise de tecnologia, comparou o NGINX com outras soluções de gateway de API . Os resultados do benchmark mostraram que o NGINX foi capaz de entregar 30.000 solicitações por segundo com latência inferior a 30 ms, o que é uma latência 1.000 vezes menor do que os gateways de API dos hiperescaladores.

O NGINX Plus fornece proteção pronta para uso não apenas contra vulnerabilidades da API OWASP – sua proteção de segurança adicional também inclui verificações de cookies malformados, JSON e XML, e valida tipos de arquivo permitidos e códigos de status de resposta. Ele garante a conformidade com HTTP RFCs e detecta técnicas de evasão usadas para mascarar ataques.

O NGINX Plus roteia solicitações de API rapidamente, ao mesmo tempo em que autentica e autoriza clientes de API para proteger suas APIs e limita a taxa de tráfego para proteger seus serviços baseados em API contra sobrecarga. Essas ferramentas também protegem suas APIs das dez principais vulnerabilidades de segurança da API OWASP:

• Mecanismos de autenticação e autorização – Garanta que somente clientes com os privilégios de acesso corretos possam consumir suas APIs. Um desses mecanismos são as declarações em JSON Web Tokens (JWTs). Isso aborda diversas vulnerabilidades no OWASP API Security Top 10: Autorização de nível de objeto quebrada (API1), autenticação de usuário quebrada (API2), autorização de nível de função quebrada (API5) e registro e monitoramento insuficientes (API10).
• Políticas de limitação de taxa – Proteja suas APIs de sobrecarga e mitigue ataques DDoS definindo um limite no número de solicitações que o gateway de API aceita de cada cliente de API dentro de um período de tempo definido. Com o NGINX Plus, os limites de taxa podem ser específicos para a origem (com base no valor de uma declaração JWT, por exemplo), para que usuários válidos não sejam afetados. Isso ajuda a resolver a vulnerabilidade Falta de Recursos e Limitação de Taxa (API4).

Fortaleça suas APIs com o aplicativo F5 NGINX Protect WAF

Proteger seu gateway de API com o F5 NGINX App Protect WAF fornece segurança de API adicional e atenua ataques OWASP como Injection (API8). Ao contrário de outros provedores de gateway e gerenciamento de API que oferecem o mínimo necessário para proteção de API OWASP, o NGINX App Protect WAF oferece proteção adicional contra vulnerabilidades como Execução Remota de Código (RCE), Cross-Site Scripting (XSS) e outros vetores de ataque. O NGINX App Protect WAF também fornece a visibilidade de ataque necessária para registro e monitoramento insuficientes (API10). Esses detalhes de ataque registrados podem ser enviados para sistemas de gerenciamento de eventos e informações de segurança (SIEM) ou outros data lakes de clientes para análise adicional.

Se você estiver usando o NGINX Plus como um gateway de API e balanceador de carga (para roteamento de APIs que precisam ser expostas à Internet e para desenvolvedores e parceiros externos), é um lugar privilegiado para implantar o NGINX App Protect WAF para proteção. Com um salto a menos para tráfego de API, a proteção pode ser adicionada com o mínimo de complexidade e menor latência.

De acordo com os requisitos de conformidade do PCI para lidar com dados confidenciais (informações de identificação pessoal [PII]) em determinados setores, a carga útil deve ser criptografada de ponta a ponta em redes públicas abertas . Ter o NGINX App Protect WAF no gateway da API, atrás de um balanceador de carga ou CDN, significa que a carga útil permanece totalmente criptografada até ser descriptografada no gateway da API. Dessa forma, suas APIs podem permanecer protegidas enquanto atendem aos requisitos de manipulação de dados confidenciais.

Proteção multicamadas com o aplicativo F5 NGINX Protect WAF

Você pode ter um balanceador de carga e um WAF – como o F5 Advanced WAF – nesse balanceador de carga. Atrás deles, você implantou um gateway de API. Então, por que você precisa de um WAF no seu gateway de API se você já tem um no seu balanceador de carga?

Um dos principais benefícios de migrar de uma combinação de balanceador de carga-WAF na borda para uma combinação de gateway de API-WAF dentro do seu ambiente é um controle mais rígido e granular sobre a segurança. A responsabilidade pela segurança pode ser transferida para uma equipe de API para tornar as políticas mais específicas da API.

Com essa abordagem de duas camadas, você pode garantir que suas APIs permaneçam protegidas mesmo nos ciclos mais rápidos de desenvolvimento e lançamento de API.

Adicionando Segurança Positiva com Validação de Esquema OpenAPI

Uma área-chave onde a proteção deve ser específica da API é a validação da Especificação OpenAPI da Swagger. Os esquemas OpenAPI são exclusivos para cada API e mudam com cada versão da API. A proteção baseada no esquema OpenAPI de uma API não pode esperar que uma equipe de TI atualize os controles de segurança no WAF centralizado que ela mantém, o que requer aprovação e testes cuidadosos para evitar efeitos inesperados em outras APIs e aplicativos.

O NGINX App Protect WAF pode validar esquemas OpenAPI, verificando se as solicitações estão em conformidade com o que a API suporta (métodos, endpoints, parâmetros, etc.). É por isso que é ideal que o NGINX App Protect WAF forneça segurança positiva no gateway da API por trás de um WAF centralizado no balanceador de carga.

“Segurança como código” para acompanhar o ritmo das implantações de API

Os pipelines de CI/CD são criados para velocidade, não para segurança. As APIs também são publicadas com mais frequência do que os aplicativos do passado. É por isso que estamos vendo um movimento de mudança para a esquerda no cenário orientado por API. Ao mudar para a esquerda ou aplicar controles de segurança mais cedo no ciclo de vida de desenvolvimento do aplicativo, o DevOps caminha em direção a uma cultura DevSecOps , na qual a segurança é tratada como código.

Independentemente de você localizar um WAF no gateway da API, no balanceador de carga ou em ambos, as configurações do WAF precisam ser implantadas de forma automatizada para acompanhar as alterações da versão da API. Quando as organizações adotam uma cultura de mudança para a esquerda e integram a “segurança como código” ao pipeline de CI/CD, a segurança pode ser incorporada em cada estágio do desenvolvimento de aplicativos e APIs, em vez de ser adicionada como uma reflexão tardia.

Há muitos benefícios em políticas e configurações de segurança serem consumidas como código:

• O código pode ser facilmente extraído de um repositório de código-fonte.
• Sua equipe de SecOps pode criar e manter políticas de segurança declarativas para garantir que os controles necessários para proteger o negócio estejam em vigor.
• Políticas declarativas podem ser codificadas repetidamente em novos aplicativos e APIs.
• A segurança é automatizada no pipeline de CI/CD.

Ao automatizar o esquema da API, sempre que você atualizar uma API, também precisará atualizar a configuração e o código naquele arquivo. Mais uma vez, a automação é fundamental. Uma vez que uma filosofia de mudança para a esquerda ou “segurança em primeiro lugar” é totalmente adotada, os desenvolvedores podem facilmente obter esse código do repositório – mantendo a agilidade, aumentando a velocidade e acelerando o tempo de colocação no mercado.

Proteção de alto desempenho para suas APIs

Independentemente de onde você coloca um WAF para proteger suas APIs, alto desempenho e baixa latência são requisitos que permitem que suas APIs respondam rapidamente aos clientes para uma experiência de usuário mais rica. A arquitetura leve do NGINX App Protect WAF fornece alto desempenho e baixa latência com demandas de computação extremamente baixas na nuvem.

Em seu Relatório de Testes de Segurança de Aplicativos de Alto Desempenho , a GigaOm relata o resultado dos testes de desempenho para NGINX App Protect WAF, AWS WAF, Azure WAF e ModSecurity Open Source WAF. A GigaOm descobriu que o NGINX App Protect WAF tem latência 4,7x menor que o ModSecurity OSS WAF no NGINX e latência 128x menor que o AWS WAF para aplicativos que exigem alto desempenho.

A NGINX é o único fornecedor que incorpora um WAF em um gateway de API NGINX, resultando em um salto a menos para o tráfego de API. Menos saltos entre camadas reduzem a latência, a complexidade e os pontos de falha. Isso contrasta fortemente com as soluções típicas de gerenciamento de API que não se integram a um WAF (você deve implantar o WAF separadamente e, uma vez configurado, o tráfego da API precisa atravessar o WAF e o gateway da API separadamente). A forte integração do NGINX significa alto desempenho sem comprometer a segurança.

Conclusão

Na NGINX, oferecemos forte segurança de API com NGINX Plus e NGINX App Protect WAF. Com a escalabilidade leve do NGINX e a robustez do mecanismo Advanced WAF da F5, você pode entrar no mundo orientado por API confiante de que seus aplicativos modernos estão seguros.

Fiel aos valores fundamentais da NGINX, o NGINX App Protect WAF é uma solução moderna de segurança de software de aplicativo que é independente de plataforma e se integra perfeitamente com cadeias de ferramentas DevOps comuns para remover atritos e acelerar implantações seguras. Com recursos de configuração declarativa, a segurança pode ser automatizada como parte do pipeline de CI/CD e de todo o ciclo de vida de desenvolvimento de software (SDLC). Isso não apenas ajuda a acelerar a velocidade de lançamento, mas também auxilia as organizações a criar APIs confiáveis e protegidas, ao mesmo tempo em que preenche lacunas entre as equipes de DevOps e SecOps e permite uma mudança cultural em direção ao DevSecOps.

Pronto para experimentar o NGINX App Protect WAF? Comece hoje mesmo um teste gratuito de 30 dias ou entre em contato conosco para discutir seus casos de uso .