BLOG | NGINX

Seguridad de API multicloud con NGINX y F5 Distributed Cloud WAAP

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Andrew Stiefel
Andrew Stiefel
Publicado el 1 de agosto de 2023

La pregunta ya no es si estás en la nube, sino en cuántas nubes estás. Hoy en día, la mayoría de las empresas reconocen que no existe una solución única para todos y han optado por una arquitectura híbrida o multinube. Según datos del informe State of Aplicação Strategy in 2023 de F5, el 85% de las empresas operan aplicações con dos o más arquitecturas diferentes.

Para los equipos de desarrollo y API, esto genera mucha presión. Tienen la tarea de entregar API de forma segura a escala en entornos complejos y distribuidos. Las conexiones ya no son simplemente entre clientes y servicios back-end: ahora son entre aplicações implementadas en diferentes nubes, regiones, centros de datos o ubicaciones de borde. Mientras tanto, cada API debe cumplir con los requisitos de seguridad y cumplimiento de la organización, independientemente de dónde se implemente y qué herramientas se utilicen para entregarla y protegerla.

Para proteger las API en estos entornos altamente distribuidos se requiere un conjunto único de capacidades y mejores prácticas. Anteriormente escribí sobre la importancia de un enfoque doble para la seguridad de las API : “desplazarse hacia la izquierda” para incorporar seguridad desde el principio y “proteger hacia la derecha” con un conjunto de prácticas de gestión de la postura global. En esta publicación de blog, veremos cómo poner en práctica esa estrategia al mismo tiempo que entregamos API de forma segura en entornos de nube, locales y de borde.

Arquitectura de referencia de seguridad de API híbridas y multicloud

Las arquitecturas híbridas y multicloud tienen muchas ventajas claras, especialmente en términos de agilidad, escalabilidad y resiliencia. Pero añaden una capa extra de complejidad. De hecho, el informe Estado de la estrategia de aplicação en 2023 de F5 mostró cómo el aumento de la complejidad es el desafío más común que enfrentan las organizaciones hoy en día. ¿El segundo desafío más común? Aplicando seguridad consistente.

El problema hoy es que algunas soluciones de seguridad, como ciertos WAF , carecen del contexto y la protección que necesitan las API. Al mismo tiempo, las soluciones de seguridad de API dedicadas carecen de la capacidad de crear y aplicar políticas para detener ataques. Necesita una solución que trate su arquitectura y tecnología como una pila interconectada que abarque el descubrimiento, la observabilidad, la administración y la aplicación.

En la práctica, la seguridad de la API debe incorporarse en tres niveles para brindar protección a medida que el tráfico de la API atraviesa puntos críticos de infraestructura:

  • Nivel global : protección perimetral contra ataques de bots y DoS, además de descubrimiento y visibilidad
  • Nivel de sitio : protección dentro de una nube individual, un centro de datos o una implementación perimetral
  • Nivel de aplicación : control de acceso detallado y protección contra amenazas implementados cerca del entorno de ejecución de la API

La siguiente arquitectura de referencia proporciona una descripción general de cómo F5 Distributed Cloud Services y F5 NGINX trabajan juntos para brindar protección integral de API en arquitecturas híbridas y de múltiples nubes:

F5 Distributed Cloud ofrece un nivel global de protección en implementaciones locales, en la nube y en el borde.

En esta arquitectura de referencia, F5 Distributed Cloud proporciona un nivel global de protección en implementaciones locales, en la nube y en el borde. NGINX Plus con NGINX App Protect WAF brinda protección detallada a nivel de sitio y/o de aplicación al integrarse en los ciclos de vida de desarrollo de software para reforzar la seguridad en tiempo de ejecución.

Veamos las protecciones de seguridad que proporciona cada componente de esta arquitectura.

Descubrimiento y monitorización de API con F5 Distributed Cloud

Para comenzar, el tráfico de API de clientes públicos pasa por F5 Distributed Cloud Web Aplicação and API Protection (WAAP) , que se implementa en el borde. Esto es fundamental porque proporciona protección global contra ataques DDoS , abuso de bots y otras vulnerabilidades. También proporciona una visibilidad global importante del tráfico de API que ingresa a diferentes nubes, centros de datos locales e implementaciones de borde.

El tráfico de API está aumentando rápidamente y la mayoría de los ataques de API se desarrollan lentamente durante semanas o incluso meses. Encontrar tráfico malicioso dentro del flujo constante de solicitudes y respuestas de API puede ser como encontrar una aguja en un pajar. Para resolver este problema, F5 Distributed Cloud utiliza inteligencia artificial (IA) y aprendizaje automático (ML) para generar información sobre el tráfico de API, incluido el descubrimiento de API, el mapeo de puntos finales y el aprendizaje activo y la detección de anomalías que podrían representar amenazas emergentes.

Al actuar como nivel global de seguridad de aplicaciones y API, F5 Distributed Cloud WAAP ofrece los siguientes beneficios:

  • Descubrimiento automático de API : detecta y asigna API para obtener una vista completa de su ecosistema, incluida visibilidad de API de terceros y ocultas, estado de autenticación y más.
  • Prevención de fuga de datos confidenciales : detecta, caracteriza y enmascara datos confidenciales como números de seguridad social, números de crédito y otra información de identificación personal (PII) para evitar su exposición.
  • Monitoreo y detección de anomalías : inspecciona y analiza continuamente el tráfico para detectar anomalías y vulnerabilidades con herramientas de IA y ML.
  • Visibilidad de API mejorada : observa cómo fluye el tráfico a través de todos los puntos finales de API para comprender la conectividad entre API de borde, servicios internos e integraciones de terceros.
  • Seguridad reforzada en todos los entornos : utiliza un modelo de seguridad positivo al aplicar la validación del esquema, la limitación de velocidad y el bloqueo de tráfico no deseado o malicioso.

Para comenzar a utilizar F5 Distributed Cloud WAAP, puede solicitar una prueba empresarial gratuita de F5 Distributed Cloud Services , que incluye seguridad de API, defensa contra bots, computación de borde y redes de múltiples nubes.

Control de acceso y protección en tiempo de ejecución con F5 NGINX

Una vez que el tráfico de API fluye a través del nivel global, llega al nivel del sitio o a los niveles de la aplicación. Si bien el nivel global generalmente lo administran los equipos de seguridad y redes de TI, las API individuales en el nivel del sitio y el nivel de la aplicación son creadas y administradas por equipos de ingeniería de software.

Cuando se trata de control de acceso, una puerta de enlace API es una opción común porque permite a los desarrolladores descargar algunos de los requisitos de seguridad más comunes a un nivel de infraestructura compartida por encima de la aplicação. Esto reduce el esfuerzo duplicado (por ejemplo, que cada desarrollador o equipo construya su propio servicio de autenticación y autorización).

F5 NGINX Management Suite API Connectivity Manager permite a los equipos de ingeniería de plataformas y DevOps brindar acceso a infraestructura compartida, como puertas de enlace de API y portales para desarrolladores, sin necesidad de que los desarrolladores completen tickets de solicitud y otros sistemas engorrosos.

Con API Connectivity Manager, puede establecer políticas de seguridad para configurar NGINX Plus como puerta de enlace de API y configurar y monitorear las políticas de WAF de NGINX App Protect. Juntos, brindan protección crítica en tiempo de ejecución de API, incluida la capacidad de:

  • Aplicar el control de acceso : administre el acceso detallado (autenticación y autorización) a los puntos finales de API y cree listas de control de acceso para permitir o denegar el tráfico según la dirección IP o las reclamaciones JWT.
  • Cifre y enmascare datos confidenciales : proteja las comunicaciones entre API con mTLS y cifrado de extremo a extremo, y detecte y enmascare datos confidenciales como números de tarjetas de crédito en las respuestas de API.
  • Detecte y bloquee amenazas : vaya más allá de la protección del OWASP API Security Top 10 con protección avanzada contra más de 7500 campañas de amenazas y firmas de ataques.
  • Supervise el tráfico de WAF y API a escala : visualice el tráfico de API en todas sus puertas de enlace de API con NGINX App Protect WAF para detectar falsos positivos y posibles amenazas.

Puede iniciar una prueba gratuita de 30 días de NGINX API Connectivity Stack para acceder a NGINX Management Suite y sus módulos API Connectivity Manager, Instance Manager y Security Monitoring, además de NGINX Plus como puerta de enlace de API y NGINX App Protect para protección WAF y DoS.

CONCLUSIÓN

NGINX proporciona una excelente protección en tiempo de ejecución en entornos de centros de datos locales y en la nube. Cuando se combina con F5 Distributed Cloud, los equipos de ingeniería de plataformas y seguridad obtienen visibilidad continua de los puntos finales de las API, independientemente de dónde se implementen las aplicaciones asociadas. Juntos, F5 Distributed Cloud y NGINX brindan flexibilidad completa para construir y proteger su arquitectura de cualquier forma que necesite. 

Recursos adicionales

Leer más publicaciones de blog sobre F5 NGINX ›

"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.