Moderne Apps erfordern erweiterte Funktionen, um ihre gesamte Bedrohungsoberfläche ausreichend zu schützen. Web App Firewalls (WAFs) spielen immer noch eine Rolle, aber mit der Weiterentwicklung von Apps und dem Fortbestand von APIs bedarf es mehr, um die gesamte App-Oberfläche, einschließlich eines wachsenden Netzes von API-Verbindungen, zu überwachen, zu verfolgen und zu sichern.
Obwohl WAFs wertvolle Tools für die API-Sicherheit sind, sind nicht alle WAFs gleich und einige weisen beim Schutz von APIs Einschränkungen auf. Zu diesen Einschränkungen könnten gehören:
Es ist wichtig zu beachten, dass WAFs zwar weiterhin der Eckpfeiler der App-Sicherheit und eine grundlegende Ebene zum Schutz von APIs sind, es jedoch noch mehr erforderlich ist. Organisationen erwägen und implementieren aus einer Reihe von Gründen unterschiedliche Ansätze – Kosten, Komplexität, Missverständnisse und Fehleinschätzungen darüber, wie APIs ausreichend gesichert werden können , und mehr. Viele Organisationen erweitern ihre vorhandenen WAFs mit API-Gateways, um ihre APIs zu erstellen, zu verwalten und zu veröffentlichen und gleichzeitig Nutzungsrichtlinien durchzusetzen und den Zugriff zu kontrollieren. Dies ist ein guter Ausgangspunkt, es bleiben jedoch noch viele Lücken in der API-Sicherheitslage.
Und wie geht es weiter? Wie geht man mit unbekannten/Schatten-APIs um? Was ist mit der granularen API-Endpunktsteuerung? Was ist mit APIs von Drittanbietern, über die Sie nicht unbedingt Kontrolle haben? Nehmen wir einfach die Herausforderung mit den unbekannten ... Schatten-APIs an. Dies kann eine Organisation dazu veranlassen, nach einem spezialisierten Tool zur API-Erkennung und Schwachstellenerkennung zu suchen und es in den Mix aufzunehmen, während sie daran arbeitet, alle API-Grundlagen abzudecken.
Erkennen Sie, worauf das hinausläuft? Die Dinge werden sehr schnell sehr komplex. Einige Organisationen mit Budget, Fachwissen und Ressourcen bevorzugen einen Best-of-Breed-Ansatz, doch für die meisten führt das Abdecken der API-Sicherheitsbedrohungsfläche mit einem Flickenteppich verschiedener Lösungen nur dazu, dass eine der größten Sicherheitsherausforderungen – die KOMPLEXITÄT – fortbesteht. Das Hinzufügen weiterer Punktlösungen kann schnell unhaltbar werden, ganz zu schweigen davon, dass eine wirksame Überwachung und Sichtbarkeit dadurch ziemlich schwierig wird.
Geben Sie Lösungen zum Schutz von Webanwendungen und APIs (WAAP) ein. Warum sollten Sie noch mehr unabhängige Technologien, möglicherweise von unterschiedlichen Anbietern, stapeln, deren Erkenntnisse nicht einheitlich mit Ihrem bereits komplexen App-Sicherheitsökosystem korrelieren? Daher die Entwicklung hin zu (und die Entwicklung von) WAAP-Angeboten. Moderne WAAP-Lösungen können einen Teil der Antwort auf die Sicherheitsanforderungen moderner, auf Microservices basierender Multi-Cloud- und Hybrid-App-Umgebungen darstellen, indem sie die Funktionen herkömmlicher WAFs mit speziellen Funktionen kombinieren, die für die Überwachung und Sicherung von APIs von entscheidender Bedeutung sind – alles in einer konsolidierten Lösung (häufig als SaaS bereitgestellt).
Es bestehen Missverständnisse über WAAPs, wonach ihnen die erforderliche Funktionalität für eine umfassende API-Sicherheit fehlt. Zu den Mythen, die Sie vielleicht schon gehört haben, gehört, dass WAAPs APIs nicht über einen längeren Zeitraum überwachen und verfolgen und Anomalien erkennen können, dass ihnen erweiterte Lernfähigkeiten fehlen, um neue und sich ändernde App- und API-Endpunkte zu verfolgen oder dass sie die Absichten der Endbenutzer nicht verfolgen und erkennen können.
Das ist schlicht und ergreifend nicht wahr. Viele moderne WAAP-Lösungen wie F5 Distributed Cloud WAAP werden mit KI/ML-Funktionen entwickelt, die wichtige API-Sicherheitsfunktionen wie automatische API-Erkennung, Schemadurchsetzung, Benutzer- und API-Anomalieerkennung und mehr ermöglichen. Und anders als bei vielen reinen API-Sicherheitsprodukten, die auf Out-of-Band-Analysen basieren, erfolgt die Verkehrsanalyse und Blockierung des App- und API-Verkehrs bei WAAP-Lösungen innerhalb einer einzigen Inline-Lösung. Es besteht keine Notwendigkeit, Daten an eine oder mehrere separate Lösungen zu streamen oder zu spiegeln, was die Analyse, Erkennung und Eindämmung von Bedrohungen verzögern kann.
Um mehr über F5 Distributed Cloud WAAP und seine API-Sicherheitsfunktionen zu erfahren, besuchen Sie unsere Website und sehen Sie sich eine kurze Demo der Lösung in Aktion an.