BLOG

Les risques et défis de sécurité des API modernes résolus grâce aux solutions de protection des applications Web et des API (WAAP)

Miniature de Ian Dinno
Ian Dinno
Publié le 21 juillet 2023

Les applications modernes nécessitent un ensemble de fonctionnalités avancées afin de protéger suffisamment l’ensemble de leur surface de menace. Les pare-feu d'applications Web (WAF) jouent toujours un rôle, mais à mesure que les applications évoluent et que les API persistent, il en faut davantage pour surveiller, suivre et sécuriser l'ensemble de la surface de l'application, y compris un réseau croissant de connexions API.

Quelques limites potentielles des WAF dans la prise en charge de la sécurité des API

Bien que les WAF soient des outils précieux pour la sécurité des API , tous les WAF ne sont pas créés égaux, certains présentant des limites en matière de protection des API. Ces limitations pourraient inclure :

  • Gestion des autorisations d'API complexes : Les API utilisent souvent des mécanismes d’autorisation plus complexes au-delà de l’authentification traditionnelle basée sur la session utilisée dans les applications Web. Les WAF peuvent avoir du mal à gérer des schémas d’autorisation complexes tels que OAuth 2.0, JWT (jetons Web JSON) ou l’authentification personnalisée basée sur des jetons.
  • Analyse des variations de protocole et de charge utile : Les API peuvent utiliser différents protocoles (REST, GraphQL, SOAP) et formats de charge utile (JSON, XML) avec différentes structures de données et schémas. Les WAF peuvent avoir un support limité pour l’analyse et la validation de ces variations, ce qui peut entraîner une visibilité limitée et davantage de faux positifs (ou de faux négatifs) dans la détection des menaces.
  • Limitation du débit : Limiter le débit des API est essentiel pour éviter les abus et l'épuisement des ressources API. Les WAF rencontrent souvent des difficultés à restreindre précisément le trafic API, car les requêtes évoluent constamment et la limitation doit s’appuyer sur des paramètres propres à chaque API.
  • Informations sur les attaques spécifiques aux API : Les API sont sensibles à des vecteurs d’attaque spécifiques tels que la pollution des paramètres, les attaques par injection spécifiques aux API ou les scénarios d’abus d’API. Les WAF peuvent ne pas disposer de règles ou d’heuristiques spécialisées pour détecter et atténuer efficacement ces attaques spécifiques aux API.
  • Fonctionnalité de gestion des API : Les WAF se concentrent principalement sur les aspects de sécurité et peuvent manquer des capacités complètes de gestion des API requises pour la gouvernance des API, la documentation, le contrôle de version et les fonctionnalités du portail des développeurs.

Augmentation des WAF pour la sécurité des API

Il est important de noter que même si les WAF restent la pierre angulaire de la sécurité des applications et constituent une couche fondamentale pour la protection des API, il faut faire plus. Les organisations envisagent et mettent en œuvre diverses approches, pour diverses raisons : coût, complexité, idées fausses et malentendus sur la manière de sécuriser correctement les API , etc. De nombreuses organisations augmentent leurs WAF existants avec des passerelles API pour créer, gérer et publier leurs API tout en appliquant des politiques d'utilisation et en contrôlant l'accès. Il s’agit d’un bon point de départ, mais il reste encore de nombreuses lacunes dans la posture de sécurité des API.

Alors, quelle est la prochaine étape ? Comment gérer les API inconnues/fantômes ? Qu'en est-il du contrôle granulaire des points de terminaison des API ? Qu’en est-il des API tierces que vous ne contrôlez pas nécessairement ? Relevons le défi avec les API inconnues… fantômes. Ces éléments peuvent amener une organisation à rechercher un outil spécialisé de découverte et de vulnérabilité des API à ajouter au mix alors qu'elle s'efforce de couvrir toutes les bases des API.

Vous comprenez où cela mène ? La complexité augmente très rapidement. Certaines organisations disposent de budget, d’expertise et de ressources et privilégient une approche best-of-breed, mais pour la plupart, couvrir la surface des menaces en matière de sécurité des API par un panachage de solutions différentes ne fait que renforcer l’un des plus grands défis : LA COMPLEXITÉ. Ajouter davantage de solutions ponctuelles devient vite ingérable, et complique aussi la surveillance et la visibilité efficaces.

Comment les WAAP peuvent aider – Assurer une sécurité complète des applications et des API

Entrez dans les solutions de protection des applications Web et des API (WAAP) . Pourquoi empileriez-vous davantage de technologies indépendantes, probablement issues de différents fournisseurs, et qui ne corrélent pas de manière cohérente les informations à votre écosystème de sécurité d'applications déjà complexe ? D’où l’évolution vers (et le développement des) offres WAAP. Les solutions WAAP modernes peuvent faire partie de la réponse aux besoins de sécurité des environnements d'applications modernes, basés sur des microservices, multicloud et hybrides, en combinant les capacités des WAF traditionnels avec des fonctions spécialisées essentielles pour la surveillance et la sécurisation des API, le tout dans une solution consolidée (souvent fournie en tant que SaaS).

Idées fausses courantes sur les WAAP et leur capacité à surveiller et à protéger les API

Il existe des idées fausses sur les WAAP selon lesquelles ils ne disposent pas des fonctionnalités nécessaires pour offrir une sécurité API complète. Certains des mythes que vous avez peut-être entendus incluent le fait que les WAAP ne peuvent pas surveiller et suivre les API au fil du temps et identifier les anomalies, qu'ils manquent de capacités d'apprentissage avancées pour suivre les points de terminaison des applications et des API nouveaux et changeants, ou qu'ils ne peuvent pas suivre et discerner l'intention de l'utilisateur final.

Ce sont tout simplement faux. De nombreuses solutions WAAP modernes comme F5 Distributed Cloud WAAP sont développées avec des capacités d'IA/ML qui alimentent des fonctions de sécurité API critiques telles que la découverte automatique d'API, l'application de schémas, la détection d'anomalies d'utilisateur et d'API, etc. Et contrairement à ce qui est disponible avec de nombreux produits de sécurité API uniquement qui s'appuient sur une analyse hors bande, avec les solutions WAAP, l'analyse du trafic et le blocage du trafic des applications et des API s'effectuent au sein d'une seule solution en ligne. Il n’est pas nécessaire de diffuser ou de mettre en miroir les données vers une ou plusieurs solutions distinctes qui peuvent retarder l’analyse, la détection et l’atténuation des menaces.

Pour en savoir plus sur F5 Distributed Cloud WAAP et ses capacités de sécurité API, consultez notre site Web et une courte démonstration de la solution en action.