NGINX App Protect bringt Sicherheit in das API-Ökosystem

In den letzten Jahren haben sich APIs zum De-facto- Ansatz für den Aufbau der modernen App-Wirtschaft entwickelt. Diese Softwareschnittstellen haben sich zum vorherrschenden Mittel entwickelt, um Systemen, Applications und Geräten die Kommunikation und gemeinsame Nutzung einer großen Bandbreite an Daten und Funktionen zu ermöglichen. Im Wesentlichen sind APIs zur modernen Seidenstraße für Informationen geworden und geben dem Kunden tatsächlich die Möglichkeit, Lösungen freizuschalten, die die besten Tools verschiedener Anbieter kombinieren.

80 % der im jährlichen Connectivity Benchmark Report von MuleSoft befragten Organisationen verwenden öffentliche und/oder private APIs. Zu den genannten Vorteilen zählen unter anderem eine höhere Produktivität (54 %), mehr Innovation (47 %) und Kosteneinsparungen (34 %). Der Umfrage zufolge generieren APIs für die Unternehmen, die sie veröffentlichen, auch erhebliche Umsätze – im Durchschnitt 31 % des Gesamtumsatzes.

Allerdings ist nicht alles rosig. Untersuchungen von F5 Labs haben ergeben, dass die Zahl der API-Sicherheitsvorfälle im ersten Halbjahr 2020 voraussichtlich die Zahl der Vorfälle der beiden Vorjahre zusammen übersteigen wird. Eine große Herausforderung für DevOps-Teams besteht darin, dass es in Bezug auf die API-Sicherheit zahlreiche Schwachstellen gibt, von einer völlig fehlenden Authentifizierung vor API-Endpunkten über fehlerhafte Authentifizierung und Autorisierung bis hin zu grundlegenden Fehlkonfigurationen.

Die Frage ist nun: Wie sichern Sie Ihre gesamte API-Aktivität? In diesem Blog erklären wir, wie ein „Security as Code“-Ansatz rund um NGINX App Protect der Schlüssel zum Schutz Ihrer APIs ist und sich nahtlos in Ihre CI/CD-Pipeline einfügt, neben Lösungen anderer Sicherheitsanbieter, auf die Sie sich verlassen.

APIs dienen sowohl Mitarbeitern als auch Partnern

Laut ProgrammableWeb sind derzeit über 20.000 private, Partner- und öffentliche APIs im Einsatz, die die Apps ermöglichen, auf die wir uns täglich verlassen. Der Reiz von APIs – und darüber hinaus der containerbasierten Microservices, in denen APIs ausgeführt werden oder mit denen sie verbunden werden – liegt darin, dass sie die Funktionen und Daten Ihrer Software einem breiten Benutzerkreis zugänglich machen können, darunter Ihren Mitarbeitern und allen Ihren strategischen und kommerziellen Partnern. (Natürlich ist dieser Ansatz auch für DevOps-Teams attraktiv, da sie für ihre spezifischen Anforderungen die besten Anbieter auswählen können.)

Viele Unternehmen nutzen beispielsweise private und Partner-APIs, um Self-Service-IT zu ermöglichen. Indem IT-Assets auffindbar und wiederverwendbar gemacht werden, können mehr Mitglieder der Organisation mehr erreichen, ohne sich bei jedem Schritt auf DevOps verlassen zu müssen. Bei richtiger Umsetzung führt Self-Service-IT zu größerer Agilität, schnellerer Markteinführung, kundenorientierten Lösungen unter Einbeziehung einer Vielzahl von Anbietern, Effizienz, Innovation und höheren Margen.

Diese Dynamik existiert auch auf der Entwicklungs- und Produktionsseite der Gleichung: Containerisierte Software und APIs ermöglichen dem DevOps-Team die Interaktion mit einer breiten Palette von Partnern. Dazu gehören Partner für Identitäts- und Zugriffsverwaltung (IAM) wie Okta , AuthO und Microsoft sowie Partner für Lebenszyklusverwaltung wie MuleSoft , Akana und Kong .

Sicherheit als Code, Richtlinie als Schutz

In den schnelllebigen, dynamischen CI/CD-Umgebungen von heute benötigen Entwickler und DevOps-Teams einen ganzheitlichen Ansatz zum Schutz von Webanwendungen und APIs mit Application , die ihnen dabei helfen, Lösungen zu implementieren und Software schnell und sicher zu starten. Die Teams müssen ihren Code sichern und gleichzeitig eng mit den Zugriffsverwaltung und Lebenszyklusverwaltungspartnern ihrer Wahl integriert bleiben.

Da sich DevOps in den letzten Jahren zu DevSecOps gewandelt hat, gibt es einen Trend hin zur Implementierung der Sicherheit selbst als Code . Dies ist lediglich eine andere Art auszudrücken, dass Unternehmen allmählich die Notwendigkeit erkennen, Sicherheit in jeden Aspekt neuer Software zu integrieren, statt Sicherheit als etwas zu betrachten, das nach Abschluss der Codierung hinzugefügt wird. Hierzu gehören Praktiken wie:

• Automatisierung der Sicherheit, wann immer möglich, durch direkte Einbettung in die CI/CD-Pipeline
• Sicherheit als Leitplanke und nicht als Tor aufbauen (d. h. Anleitung und Werkzeuge bereitstellen, statt nur Zugang zu gewähren oder zu verweigern)
• Wir arbeiten mit zahlreichen Partnern zusammen, um sicherzustellen, dass Sicherheitslösungen einheitlich, zentralisiert und per Self-Service verfügbar sind – für alle Umgebungen, auch verteilte und containerisierte Umgebungen.

„Sicherheit als Code“ bedeutet, dass Sie Sicherheit in jeden Aspekt neuer Software einbauen, anstatt sie einfach am Ende anzuhängen.

Erweiterte API-Sicherheit für moderne Application

F5 ist ein großer Befürworter des Security-as-Code -Ansatzes, um die App-Sicherheit anpassbar, skalierbar und zuverlässig zu machen, und NGINX App Protect spielt bei der Ermöglichung dieses Ansatzes eine wichtige Rolle. NGINX App Protect kombiniert API-Sicherheit mit grundlegenden Funktionen unserer marktführenden Advanced Web Application Firewall (Advanced WAF) und Bot-Schutz , um DevOps zu unterstützen:

• Integrieren Sie unterbrechungsfreie Sicherheitskontrollen (mit Genehmigung des Sicherheitsteams) in die Automatisierungs- und CI/CD-Prozesse
• Implementieren und verwalten Sie App-Sicherheitskontrollen in verteilten Umgebungen wie Containern und Microservices.
• Implementieren Sie kosteneffiziente Sicherheitskontrollen, ohne die Release-Geschwindigkeit oder die Application negativ zu beeinflussen.

Mit NGINX App Protect stellen Sie Application als leichtes Softwarepaket bereit, das zudem unabhängig von der zugrunde liegenden Infrastruktur ist. Dementsprechend kann der Softwareentwickler deklarative Richtlinien („Sicherheit als Code“) verwenden, um alles zu sichern, was in ein API-Gateway oder einen anderen Ingress-Controller hinein- und aus ihm herausgeht. Auch wenn eine API standardmäßig nicht selbst sicher ist, kann bei diesem Modell die Sicherheit mit NGINX App Protect an mehreren Punkten angewendet werden, sei es beim Eingang, innerhalb eines Kubernetes-Pods oder dienstübergreifend.

Durch die Zusammenarbeit mit den anderen Branchenführern, die von unseren Kunden bevorzugt werden, und die Einbeziehung der Anbieter und Produkte, die bereits von DevOps-Teams auf der ganzen Welt verwendet werden, sind F5 und NGINX bestrebt, innovative Lösungen für das gesamte Application zu liefern.

Abschluss

APIs werden zur neuen Seidenstraße für den Informationsaustausch und ermöglichen eine noch nie dagewesene Verbindung zu Ihren Benutzern. Deshalb schützt NGINX App Protect Ihre Apps und Daten vor der gesamten Bandbreite potenzieller Bedrohungen. NGINX App Protect ist auf die Art und Weise ausgelegt, wie Sie Apps bereitstellen, einschließlich der Möglichkeit einer engen Integration mit Ihrem Partner-Ökosystem. Diese branchenführende Lösung funktioniert nahtlos in DevOps-Umgebungen und integriert unterbrechungsfreie Sicherheitskontrollen in die gesamte DevOps-Automatisierung und die CI/CD-Prozesse. So wird sichergestellt, dass die App-Sicherheit nicht nachträglich hinzugefügt oder als Notlösung eingesetzt wird, sondern von Anfang an integriert ist.

Möchten Sie NGINX App Protect selbst ausprobieren? Starten Sie noch heute eine kostenlose 30-Tage-Testversion oder kontaktieren Sie uns, um Ihre Anwendungsfälle zu besprechen .