目前互联网上50%以上的流量产生于机器人BOT,当大量机器人模拟正常的业务访问来请求API网关时,这种应用层DDoS攻击会对API网关带来巨大的性能开销,导致API安全问题,因此找到加固解决方案很重要,而关于API安全问题F5的加固解决方案是非常受欢迎的。
关于API安全问题F5的加固解决方案是什么?
关于API安全问题F5的加固解决方案,主要涉及:AFM高级防火墙模块、LTM负载均衡模块、SSLO 加解密流量编排模块、AWAF 高级应用层防护模块、APM 认证授权策略管理模块、HSL高速日志引擎。
AWAF 高级应用层防护模块
*针对API安全问题的防护,首先需要了解数据和API应用的结构,F5 AWAF 支持将OpenAPI及Swagger配置文件导入,根据配置文件自动生成路径策略,并按不同的API路径提供不同深度的保护。通过向导式配置方法,极大提高了防护部署的便捷性。
*协议内容检查:通过对XML,JSON报文体的识别,检查报文格式中存在的安全隐患和攻击特征,例如报文体长度限制,特殊字符的滥用,多次编码,参数错误,恶意代码上传等。
*访问方式限定:限定API接口的访问方法(例如只允许GET,POST ,不允许其他访问方法),阻断非正常的访问方式,可降低API本身漏洞被利用的概率。
*扫描阻断:阻断攻击者对API网关漏洞的扫描,提高API网关的安全性,降低应用服务的暴露面。
*暴力破解防护:此类攻击会对API安全问题网关的性能产生巨大的消耗,让大量的资源消耗在鉴权上。AWAF高级应用层防护模块可以自动学习AJAX登录页面,根据预先设定的访问阈值策略进行自动的暴力破解防护。
*敏感数据泄露:支持自定义数据的隐藏,有效保护数据的私密性。
*机器人防御:基于多个维度进行机器人的防护,通过机器人特征库,快速屏蔽恶意机器人攻击;对于API接口,AWAF利用X-Security-Update-URL报文头将JavaScript脚本插入到API安全问题应用返回的第一个回复报文中,后续通过X-Security-Request判断其API访问是请求的合法性。在整个API访问的过程中,AWAF会持续递进通过中地检测API交互,确保机器人BOT无法绕过检测,使得API网关不被机器人攻击所影响。
*应用层DDoS攻击防护:API DDoS攻击通常模拟正常的API访问流程,瞄准消耗API网关性能较高的资源进行攻击,从而达到使API网关瘫痪,业务中断的目的。AWAF防护模块可以通过多个维度来检测API DDoS攻击,通过Java script来有效控制API的访问频率,达到降低DDoS攻击影响的目的。同时,AWAF还会基于API网关返回的延迟情况来判断API安全问题是否存在异常,网络中是否存在攻击。当API网关返回的延迟高于设定的阈值时,AWAF模块会主动介入,对流量进行主动检测和攻击的防护。
*IP地址信誉库防护:API DDoS攻击也存在一种利用大量离散IP以低频的形式攻击API网关,从而起到绕过防护设备针对每秒请求数限制的防护手段的效果。AWAF防护模块可以提供IP地址信誉库功能,与第三方威胁情报组织合作,实时更新IP信誉库,对于此类低频的DDoS攻击,可以起到良好的防护作用。目前IP地址信誉库容纳了多种恶意地址库分类,例如匿名代理,恶意代理,SPAM,钓鱼网络,僵尸网络等等。一旦访问IP来源包含在这些地址分类中,会直接被阻断。
*新建API接口防护策略的灵活调用:如今的API接口开发遵循持续迭代,持续交付的体系,并不断对应用框架做优化和开发模板的统一,从而可以实现应用的快速、灰度发布,敏捷发版与回收。传统的安全运维方式,在策略部署方式难以跟上应用开发的步伐。这就对应用安全类产品能否嵌入到开发流程中,完成安全策略的自动下发,测试并配合应用发版提出了要求。F5 AWAF 产品具备AS3模块,提供声明式模板,以模板的形式完成安全策略的调用。安全运维人员可以将API应用分类,按不同类型制定防御策略的模板,API应用在开发流程中可通过AS3模块自动调用AWAF上相关的防御策略模板,从而实现API安全问题部署与业务发布效率的并行。
