BLOG

Aprimorando a segurança do AWS API Gateway: Melhores práticas para gerenciamento de API

Miniatura de Dave Morrissey
Dave Morrissey
Publicado em 09 de abril de 2024

As APIs facilitam a integração de serviços, a conexão de dados ou a realização de atualizações, e é por isso que são tão predominantes em aplicativos modernos. À medida que as organizações continuam a modernizar seus portfólios de aplicativos, o número de APIs em uso deverá ultrapassar um bilhão até 2031.1 Rastrear — e muito menos proteger — todas essas APIs é um desafio, levando as organizações a lidar com uma série de APIs “sombra” não gerenciadas em seu ambiente.

Infelizmente, os invasores perceberam que as APIs geralmente são um alvo mais fácil do que os aplicativos, o que é demonstrado pelo fato de que 90% dos ataques cibernéticos baseados na Web têm como alvo endpoints de API, de acordo com a análise da F5.2 APIs não gerenciadas criam um risco particular, pois você não pode proteger o que não pode ver. Muitas APIs também são criadas por equipes diferentes ou até mesmo por empresas diferentes daquelas que criam os aplicativos, limitando a visibilidade de riscos potenciais.

Navegando por APIs e o modelo de responsabilidade compartilhada

Gerenciar e proteger com eficiência grandes volumes de APIs requer uma solução em várias camadas. Para usuários da AWS , o Amazon API Gateway é um serviço totalmente gerenciado que permite aos desenvolvedores criar, publicar, manter, monitorar e proteger APIs em qualquer escala. O API Gateway oferece suporte a uma variedade de integrações de backend, permitindo cargas de trabalho em contêineres, sem servidor e baseadas em instâncias tradicionais.

No entanto, a segurança é uma responsabilidade compartilhada entre a AWS e seus clientes. Embora a AWS seja responsável por proteger a infraestrutura e os serviços, os clientes também devem proteger seus dados e aplicativos.

A AWS recomenda os seguintes princípios de design de segurança.3

  • Mitigar os efeitos de ataques de negação de serviço distribuído (DDoS)
  • Implementar inspeção e proteção usando um firewall de aplicativo da web (WAF)
  • Habilite auditoria e rastreabilidade com monitoramento quase em tempo real
  • Automatize as melhores práticas de segurança
  • Aplique segurança em todas as camadas para uma abordagem de defesa em profundidade

APIs seguras na AWS com F5

Como parceira da AWS, a F5 oferece segurança que funciona com o Amazon API Gateway para proteger seus aplicativos e APIs. O F5 BIG-IP Advanced WAF ou o F5 Distributed Cloud WAF podem identificar tráfego malicioso tentando alcançar o Amazon API Gateway ou seus serviços de API. Você pode implantar o WAF na frente ou atrás do Amazon API Gateway. No entanto, implantá-lo na frente do gateway tem o benefício adicional de evitar chamadas de API maliciosas que custarão dinheiro.

As soluções F5 WAF usam análise comportamental para identificar ameaças com precisão e fornecer mitigação de DoS de camada 7, criptografia de camada de aplicativo e serviços de inteligência de ameaças. A implantação de um WAF protege seus aplicativos e APIs contra ataques, incluindo aqueles no OWASP Top 10.

Outro requisito importante para a proteção da API é a descoberta. Integre o F5 Distributed Cloud API Security ao seu pipeline de CI/CD para capturar alterações de API sem interromper o processo de desenvolvimento. Carregue um esquema de API existente para impor o comportamento apropriado da API e gerar automaticamente políticas com base em padrões de aplicativo para aplicativo e de API para API. O F5 Distributed Cloud API Security também controla conexões e monitora comportamentos anômalos no tráfego de API, permitindo o bloqueio de atividades suspeitas.

Os bots representam outra grande ameaça à segurança da API. Várias das 10 principais ameaças à segurança da API da OWASP são fraquezas que podem ser facilmente exploradas por bots, como consumo irrestrito de recursos ou autenticação quebrada. Adicionar o F5 Distributed Cloud Bot Defense permite uma combinação de especialistas humanos e aprendizado de máquina para detectar tráfego de bots maliciosos, ao mesmo tempo em que admite usuários legítimos e bots úteis.

Obtenha segurança de API multicamadas

A F5 oferece tudo o que você precisa para proteger suas APIs com o F5 Distributed Cloud Web App and API Protection (WAAP), fornecendo segurança em várias camadas com gerenciamento unificado. O Distributed Cloud WAAP traz segurança consistente para seus aplicativos e APIs, não importa onde eles estejam implantados: na AWS, em outras nuvens públicas ou privadas, no local ou na borda.

Encontre o F5 Distributed Cloud WAAP no AWS Marketplace , permitindo que você adicione proteção facilmente e cumpra sua parte do modelo de responsabilidade compartilhada.

Saiba mais sobre as soluções F5 para AWS em f5.com/aws .