Sécurité des API multicloud avec NGINX et F5 Distributed Cloud WAAP

La question n’est plus de savoir si vous êtes dans le nuage, mais dans combien de nuages vous vous trouvez. La plupart des entreprises reconnaissent aujourd’hui qu’il n’existe pas de solution cloud unique et se sont tournées vers une architecture hybride ou multicloud. Selon les données du rapport State of Application Strategy in 2023 de F5, 85 % des entreprises exploitent des applications avec deux ou plusieurs architectures différentes.

Pour les équipes de développement et d’API, cela crée beaucoup de pression. Ils sont chargés de fournir en toute sécurité des API à grande échelle dans des environnements complexes et distribués. Les connexions ne se font plus simplement entre les clients et les services back-end : elles se font désormais entre les applications déployées dans différents clouds, régions, centres de données ou emplacements périphériques. Parallèlement, chaque API doit répondre aux exigences de sécurité et de conformité de l’organisation, quel que soit l’endroit où elle est déployée et les outils utilisés pour la fournir et la sécuriser.

La sécurisation des API dans ces environnements hautement distribués nécessite un ensemble unique de capacités et de bonnes pratiques. J’ai déjà écrit sur l’importance d’ une approche à deux volets pour la sécurité des API : « déplacer vers la gauche » pour intégrer la sécurité dès le début et « protéger vers la droite » avec un ensemble de pratiques de gestion de la posture globale. Dans cet article de blog, nous verrons comment mettre cette stratégie en pratique tout en fournissant des API en toute sécurité dans les environnements cloud, sur site et périphériques.

Architecture de référence de sécurité des API hybrides et multicloud

Les architectures hybrides et multicloud présentent de nombreux avantages certains, notamment en termes d’agilité, d’évolutivité et de résilience. Mais ils ajoutent une couche supplémentaire de complexité. En fait, le rapport de F5 sur l’état de la stratégie d’application en 2023 a montré que la complexité croissante est le défi le plus courant auquel sont confrontées les organisations aujourd’hui. Le deuxième défi le plus courant ? Appliquer une sécurité cohérente.

Le problème aujourd’hui est que certaines solutions de sécurité, comme certains WAF , manquent du contexte et de la protection dont les API ont besoin. Dans le même temps, les solutions de sécurité API dédiées n’ont pas la capacité de créer et d’appliquer des politiques pour arrêter les attaques. Vous avez besoin d’une solution qui traite votre architecture et votre technologie comme une pile interconnectée couvrant la découverte, l’observabilité, la gestion et l’application.

En pratique, la sécurité des API doit être intégrée à trois niveaux pour assurer la protection lorsque le trafic des API traverse des points d’infrastructure critiques :

• Niveau mondial – Protection des périphériques contre les attaques de bots et DoS, ainsi que découverte et visibilité
• Niveau de site – Protection au sein d'un cloud individuel, d'un centre de données ou d'un déploiement périphérique
• Niveau d'application – Contrôle d'accès précis et protection contre les menaces déployés à proximité de l'environnement d'exécution de l'API

L'architecture de référence ci-dessous fournit un aperçu de la manière dont F5 Distributed Cloud Services et F5 NGINX fonctionnent ensemble pour fournir une protection complète des API dans les architectures multicloud et hybrides :

Dans cette architecture de référence, F5 Distributed Cloud fournit un niveau de protection global sur les déploiements Edge, Cloud et sur site. NGINX Plus avec NGINX App Protect WAF offre une protection fine au niveau du site et/ou de l'application en s'intégrant dans les cycles de vie de développement logiciel pour renforcer la sécurité d'exécution.

Examinons les protections de sécurité fournies par chaque composant de cette architecture.

Découverte et surveillance des API avec F5 Distributed Cloud

Pour commencer, le trafic API des clients publics traverse la protection des applications Web et des API F5 Distributed Cloud (WAAP) , qui est déployée en périphérie. Il s’agit avant tout d’une protection globale contre les attaques DDoS , les abus de robots et autres exploits. Il offre également une visibilité globale importante sur le trafic API entrant dans différents clouds, centres de données sur site et déploiements périphériques.

Le trafic API augmente rapidement et la plupart des attaques API se déroulent lentement sur des semaines, voire des mois. Trouver du trafic malveillant dans le flot de requêtes et de réponses API classiques peut s’apparenter à chercher une aiguille dans une botte de foin. Pour résoudre ce problème, F5 Distributed Cloud utilise l'intelligence artificielle (IA) et l'apprentissage automatique (ML) pour générer des informations sur le trafic des API, notamment la découverte des API, la cartographie des points de terminaison et l'apprentissage et la détection actifs des anomalies qui pourraient représenter des menaces émergentes.

Agissant comme niveau mondial de sécurité des applications et des API, F5 Distributed Cloud WAAP offre les avantages suivants :

• Découverte automatique des API : détecte et mappe les API pour une vue complète de votre écosystème, y compris la visibilité sur les API tierces et fantômes, l'état d'authentification, etc.
• Prévention des fuites de données sensibles – Détecte, caractérise et masque les données sensibles telles que les numéros de sécurité sociale, les numéros de crédit et d’autres informations personnelles identifiables (PII) pour éviter qu’elles ne soient exposées.
• Surveillance et détection des anomalies – Inspecte et analyse en continu le trafic pour détecter les anomalies et les vulnérabilités avec des outils d’IA et de ML.
• Visibilité améliorée des API : observe la manière dont le trafic circule sur tous les points de terminaison des API pour comprendre la connectivité entre les API périphériques, les services internes et les intégrations tierces.
• Sécurité renforcée dans tous les environnements : utilise un modèle de sécurité positif en appliquant la validation du schéma, la limitation du débit et le blocage du trafic indésirable ou malveillant.

Pour commencer à utiliser F5 Distributed Cloud WAAP, vous pouvez demander un essai d'entreprise gratuit de F5 Distributed Cloud Services , qui inclut la sécurité des API, la défense contre les robots, le calcul de périphérie et la mise en réseau multicloud.

Contrôle d'accès et protection d'exécution avec F5 NGINX

Une fois que le trafic API passe par le niveau global, il arrive au niveau du site et/ou aux niveaux de l'application. Alors que le niveau global est généralement géré par les équipes de sécurité et de réseau informatique, les API individuelles du niveau site et du niveau application sont créées et gérées par les équipes d'ingénierie logicielle.

En matière de contrôle d’accès, une passerelle API est un choix courant car elle permet aux développeurs de décharger certaines des exigences de sécurité les plus courantes vers un niveau d’infrastructure partagé au-dessus de l’application. Cela réduit les efforts en double (par exemple, demander à chaque développeur ou équipe de créer son propre service d'authentification et d'autorisation).

F5 NGINX Management Suite API Connectivity Manager permet aux équipes d'ingénierie de plate-forme et DevOps de fournir un accès à une infrastructure partagée, telle que des passerelles API et des portails de développeurs, sans obliger les développeurs à remplir des tickets de demande et d'autres systèmes encombrants.

Avec API Connectivity Manager, vous pouvez définir des politiques de sécurité pour configurer NGINX Plus comme passerelle API et configurer et surveiller les politiques WAF NGINX App Protect. Ensemble, ils offrent une protection critique de l'exécution des API, notamment la possibilité de :

• Appliquer le contrôle d’accès – Gérez l’accès précis (authentification et autorisation) aux points de terminaison d’API et créez des listes de contrôle d’accès pour autoriser ou refuser le trafic en fonction de l’adresse IP ou des revendications JWT.
• Chiffrez et masquez les données sensibles – Sécurisez les communications entre les API avec mTLS et le chiffrement de bout en bout, et détectez et masquez les données sensibles comme les numéros de carte de crédit dans les réponses API.
• Détectez et bloquez les menaces – Allez au-delà de la protection du Top 10 de sécurité des API OWASP avec une protection avancée contre plus de 7 500 campagnes de menaces et signatures d’attaques.
• Surveillez les WAF et le trafic API à grande échelle – Visualisez le trafic API sur toutes vos passerelles API avec NGINX App Protect WAF pour détecter les faux positifs et les menaces potentielles.

Vous pouvez démarrer un essai gratuit de 30 jours de NGINX API Connectivity Stack pour accéder à NGINX Management Suite et à ses modules API Connectivity Manager, Instance Manager et Security Monitoring, en plus de NGINX Plus en tant que passerelle API et NGINX App Protect pour la protection WAF et DoS.

Conclusion

NGINX offre une excellente protection d’exécution dans les environnements de centres de données cloud et sur site. Associées à F5 Distributed Cloud, les équipes d'ingénierie de sécurité et de plateforme bénéficient d'une visibilité continue sur les points de terminaison des API, quel que soit l'endroit où les applications associées sont déployées. Ensemble, F5 Distributed Cloud et NGINX offrent une flexibilité totale pour créer et sécuriser votre architecture comme vous le souhaitez. 

Ressources supplémentaires

• Résumé de la solution : Sécurité des API pour les applications modernes avec F5 NGINX
• Livre blanc technique : Cloud distribué F5 WAAP avec sécurité API complète
• Livre électronique: Stratégie API : Bonnes pratiques pour les responsables de l'ingénierie des plateformes
• Livre électronique: La sécurité en tant que code
• Blog: Prévenez les attaques d'API avec des outils essentiels et des bonnes pratiques pour la sécurité des API