BLOG

Les risques et défis de sécurité des API modernes résolus grâce aux solutions de protection des applications Web et des API (WAAP)

Miniature de Ian Dinno
Ian Dinno
Publié le 21 juillet 2023

Les applications modernes nécessitent un ensemble de fonctionnalités avancées afin de protéger suffisamment l’ensemble de leur surface de menace. Les pare-feu d'applications Web (WAF) jouent toujours un rôle, mais à mesure que les applications évoluent et que les API persistent, il en faut davantage pour surveiller, suivre et sécuriser l'ensemble de la surface de l'application, y compris un réseau croissant de connexions API.

Quelques limites potentielles des WAF dans la prise en charge de la sécurité des API

Bien que les WAF soient des outils précieux pour la sécurité des API , tous les WAF ne sont pas créés égaux, certains présentant des limites en matière de protection des API. Ces limitations pourraient inclure :

  • Gestion des autorisations d'API complexes : Les API utilisent souvent des mécanismes d’autorisation plus complexes au-delà de l’authentification traditionnelle basée sur la session utilisée dans les applications Web. Les WAF peuvent avoir du mal à gérer des schémas d’autorisation complexes tels que OAuth 2.0, JWT (jetons Web JSON) ou l’authentification personnalisée basée sur des jetons.
  • Analyse des variations de protocole et de charge utile : Les API peuvent utiliser différents protocoles (REST, GraphQL, SOAP) et formats de charge utile (JSON, XML) avec différentes structures de données et schémas. Les WAF peuvent avoir un support limité pour l’analyse et la validation de ces variations, ce qui peut entraîner une visibilité limitée et davantage de faux positifs (ou de faux négatifs) dans la détection des menaces.
  • Limitation de débit : La limitation du débit des API est essentielle pour se protéger contre les comportements abusifs et l’épuisement des ressources des API. Les WAF peuvent rencontrer des difficultés pour limiter avec précision le débit du trafic API en raison de la nature dynamique des requêtes API et de l'exigence de limitation du débit en fonction de paramètres spécifiques à l'API.
  • Informations sur les attaques spécifiques aux API : Les API sont sensibles à des vecteurs d’attaque spécifiques tels que la pollution des paramètres, les attaques par injection spécifiques aux API ou les scénarios d’abus d’API. Les WAF peuvent ne pas disposer de règles ou d’heuristiques spécialisées pour détecter et atténuer efficacement ces attaques spécifiques aux API.
  • Fonctionnalité de gestion des API : Les WAF se concentrent principalement sur les aspects de sécurité et peuvent manquer des capacités complètes de gestion des API requises pour la gouvernance des API, la documentation, le contrôle de version et les fonctionnalités du portail des développeurs.

Augmentation des WAF pour la sécurité des API

Il est important de noter que même si les WAF restent la pierre angulaire de la sécurité des applications et constituent une couche fondamentale pour la protection des API, il faut faire plus. Les organisations envisagent et mettent en œuvre diverses approches, pour diverses raisons : coût, complexité, idées fausses et malentendus sur la manière de sécuriser correctement les API , etc. De nombreuses organisations augmentent leurs WAF existants avec des passerelles API pour créer, gérer et publier leurs API tout en appliquant des politiques d'utilisation et en contrôlant l'accès. Il s’agit d’un bon point de départ, mais il reste encore de nombreuses lacunes dans la posture de sécurité des API.

Alors, quelle est la prochaine étape ? Comment gérer les API inconnues/fantômes ? Qu'en est-il du contrôle granulaire des points de terminaison des API ? Qu’en est-il des API tierces que vous ne contrôlez pas nécessairement ? Relevons le défi avec les API inconnues… fantômes. Ces éléments peuvent amener une organisation à rechercher un outil spécialisé de découverte et de vulnérabilité des API à ajouter au mix alors qu'elle s'efforce de couvrir toutes les bases des API.

Vous voyez où cela mène ? Les choses deviennent très complexes très rapidement. Certaines organisations disposant d'un budget, d'une expertise et de ressources préfèrent une approche de pointe, mais pour la plupart, couvrir la surface des menaces de sécurité des API avec un patchwork de solutions différentes ne fait que perpétuer l'un des plus grands défis de sécurité, à savoir la COMPLEXITÉ . L’ajout de solutions ponctuelles supplémentaires peut rapidement devenir intenable, sans parler du fait que la surveillance et la visibilité efficaces sont assez difficiles.

Comment les WAAP peuvent aider – Assurer une sécurité complète des applications et des API

Entrez dans les solutions de protection des applications Web et des API (WAAP) . Pourquoi empileriez-vous davantage de technologies indépendantes, probablement issues de différents fournisseurs, et qui ne corrélent pas de manière cohérente les informations à votre écosystème de sécurité d'applications déjà complexe ? D’où l’évolution vers (et le développement des) offres WAAP. Les solutions WAAP modernes peuvent faire partie de la réponse aux besoins de sécurité des environnements d'applications modernes, basés sur des microservices, multicloud et hybrides, en combinant les capacités des WAF traditionnels avec des fonctions spécialisées essentielles pour la surveillance et la sécurisation des API, le tout dans une solution consolidée (souvent fournie en tant que SaaS).

Idées fausses courantes sur les WAAP et leur capacité à surveiller et à protéger les API

Il existe des idées fausses sur les WAAP selon lesquelles ils ne disposent pas des fonctionnalités nécessaires pour offrir une sécurité API complète. Certains des mythes que vous avez peut-être entendus incluent le fait que les WAAP ne peuvent pas surveiller et suivre les API au fil du temps et identifier les anomalies, qu'ils manquent de capacités d'apprentissage avancées pour suivre les points de terminaison des applications et des API nouveaux et changeants, ou qu'ils ne peuvent pas suivre et discerner l'intention de l'utilisateur final.

Ce sont tout simplement faux. De nombreuses solutions WAAP modernes comme F5 Distributed Cloud WAAP sont développées avec des capacités d'IA/ML qui alimentent des fonctions de sécurité API critiques telles que la découverte automatique d'API, l'application de schémas, la détection d'anomalies d'utilisateur et d'API, etc. Et contrairement à ce qui est disponible avec de nombreux produits de sécurité API uniquement qui s'appuient sur une analyse hors bande, avec les solutions WAAP, l'analyse du trafic et le blocage du trafic des applications et des API s'effectuent au sein d'une seule solution en ligne. Il n’est pas nécessaire de diffuser ou de mettre en miroir les données vers une ou plusieurs solutions distinctes qui peuvent retarder l’analyse, la détection et l’atténuation des menaces.

Pour en savoir plus sur F5 Distributed Cloud WAAP et ses capacités de sécurité API, consultez notre site Web et une courte démonstration de la solution en action.