Os aplicativos modernos exigem um conjunto avançado de recursos para proteger suficientemente toda a sua superfície de ameaças. Os firewalls de aplicativos da Web (WAFs) ainda desempenham um papel, mas conforme os aplicativos evoluem e as APIs persistem, é necessário mais para monitorar, rastrear e proteger toda a superfície do aplicativo, incluindo uma rede crescente de conexões de API.
Embora os WAFs sejam ferramentas valiosas para a segurança de APIs , nem todos os WAFs são criados iguais, com alguns apresentando limitações quando se trata de proteger APIs. Tais limitações podem incluir:
É importante observar que, embora os WAFs continuem sendo a base da segurança de aplicativos e sejam uma camada fundamental para proteger APIs, é necessário mais. As organizações estão considerando e implementando uma variedade de abordagens, por uma combinação de razões: custo, complexidade, conceitos equivocados e mal-entendidos sobre como proteger APIs adequadamente e muito mais. Muitas organizações estão ampliando seus WAFs existentes com gateways de API para criar, gerenciar e publicar suas APIs, ao mesmo tempo em que aplicam políticas de uso e controlam o acesso. Este é um bom ponto de partida, mas ainda deixa muitas lacunas na postura de segurança da API.
Então, o que vem a seguir? Como lidar com APIs desconhecidas/sombra? E quanto ao controle granular de endpoint de API? E quanto às APIs de terceiros que você não necessariamente controla? Vamos encarar o desafio com o desconhecido... APIs sombra. Isso pode levar uma organização a procurar uma ferramenta especializada em descoberta de API e vulnerabilidade para adicionar à mistura enquanto trabalha para cobrir todas as bases de API.
Você vê onde isso vai dar? As coisas ficam muito complexas muito rapidamente. Algumas organizações com orçamento, experiência e recursos preferem uma abordagem de melhor qualidade, mas para a maioria, cobrir a superfície de ameaça à segurança da API com uma colcha de retalhos de soluções diferentes apenas perpetua um dos maiores desafios de segurança, que é a COMPLEXIDADE . Adicionar mais soluções pontuais pode se tornar insustentável rapidamente, sem mencionar que dificulta bastante o monitoramento e a visibilidade eficazes.
Entre nas soluções de proteção de API e aplicativos da web (WAAP) . Por que você acumularia mais tecnologias independentes, provavelmente de fornecedores diferentes, e que não correlacionam insights de forma coesa ao seu já complexo ecossistema de segurança de aplicativos? Daí a evolução em direção (e desenvolvimento de) ofertas WAAP. Soluções WAAP modernas podem ser parte da resposta às necessidades de segurança para ambientes de aplicativos modernos, baseados em microsserviços, multinuvem e híbridos, combinando os recursos encontrados em WAFs tradicionais com funções especializadas que são essenciais para monitorar e proteger APIs, tudo em uma solução consolidada (geralmente fornecida como SaaS).
Há ideias equivocadas sobre os WAAPs de que eles não têm a funcionalidade necessária para fornecer segurança de API abrangente. Alguns dos mitos que você pode ter ouvido incluem que os WAAPs não conseguem monitorar e rastrear APIs ao longo do tempo e identificar anomalias, que não conseguem recursos avançados de aprendizado para acompanhar endpoints de aplicativos e APIs novos e em mudança, ou que não conseguem rastrear e discernir a intenção do usuário final.
Isso é simplesmente falso. Muitas soluções WAAP modernas, como o F5 Distributed Cloud WAAP, são desenvolvidas com recursos de IA/ML que potencializam funções críticas de segurança de API, como descoberta automática de API, aplicação de esquema, detecção de anomalias de usuário e API e muito mais. E diferentemente do que está disponível com muitos produtos de segurança pontuais somente de API que dependem de análise fora de banda, com as soluções WAAP a análise de tráfego e o bloqueio de tráfego de aplicativos e API acontecem em uma única solução inline. Não há necessidade de transmitir ou espelhar dados para uma solução (ou soluções) separada, o que pode atrasar a análise, a detecção e a mitigação de ameaças.
Para saber mais sobre o F5 Distributed Cloud WAAP e seus recursos de segurança de API, confira nosso site e uma breve demonstração da solução em ação.