BLOG | NGINX

Fortalecendo APIs com Segurança Avançada

NGINX-Parte-de-F5-horiz-preto-tipo-RGB
Miniatura de Karthik Krishnaswamy
Karthik Krishnaswamy
Publicado em 09 de agosto de 2021

Se você acompanha notícias de tecnologia, muitas vezes parece que “mais um dia, mais uma violação de segurança”. Cada vez mais, porém, as violações estão assumindo a forma de ataques a APIs. Você não está seguro nem mesmo quando faz uma pausa para se exercitar – um pesquisador de segurança descobriu recentemente que uma API do fornecedor de bicicletas ergométricas Peloton entregou dados privados de contas de usuários em resposta a solicitações não autenticadas!

No relatório The State of Application Strategy in 2021 da F5, 58% dos entrevistados disseram que estão criando uma camada de APIs para modernizar aplicativos. Com o surgimento do DevOps, da nuvem e dos microsserviços, os aplicativos e as APIs que os sustentam precisam ser suportados em um ambiente distribuído que inclui, mas não se limita a:

  • Ambientes locais, em nuvem e híbridos
  • Ambientes de desenvolvimento, teste, preparação, sandbox e produção
  • APIs internas que promovem a colaboração entre desenvolvedores e desbloqueiam silos de dados
  • APIs externas que são expostas aos seus clientes, parceiros e desenvolvedores terceirizados

Os gateways de API mediam o tráfego de API roteando solicitações, autenticando e autorizando clientes de API e aplicando limites de taxa para proteger serviços baseados em API contra sobrecarga. Muitos clientes do NGINX implantaram com sucesso gateways de API nos tipos de ambientes distribuídos mencionados acima, mas, ao mesmo tempo, viram as APIs surgirem como um novo vetor de ataque. De acordo com o Relatório de Proteção de Aplicativos de 2021 da F5, quase dois terços dos incidentes de API ocorreram porque as APIs estavam totalmente expostas — elas não tinham nenhum mecanismo de autenticação ou autorização.

O módulo de gerenciamento de API do NGINX Controller fornece uma variedade de mecanismos para proteger suas APIs, incluindo:

  • Limitação de taxa – As políticas de limitação de taxa protegem suas APIs de serem sobrecarregadas e mitigam ataques DDoS definindo um limite no número de solicitações que o gateway de API aceita de cada cliente de API em um determinado período de tempo. Isso ajuda a resolver a vulnerabilidade Falta de Recursos e Limitação de Taxa (API4) no OWASP API Security Top 10 2019 .
  • Autenticação e autorização – Mecanismos de autenticação e autorização garantem que somente clientes com os privilégios de acesso corretos possam consumir suas APIs. Um desses mecanismos são as declarações em JSON Web Tokens (JWTs). Isso ajuda a resolver três vulnerabilidades no OWASP API Security Top 10 2019 : Autorização de nível de objeto quebrado (API1), autenticação de usuário quebrada (API2) e autorização de nível de função quebrada (API5).

Apresentando o complemento de segurança do aplicativo NGINX Controller para gerenciamento de API

Agora você pode aumentar ainda mais a segurança da sua API com o complemento NGINX Controller App Security para o NGINX Controller API Management Module.

Segurança de API distribuída em qualquer ambiente

Com o Controller App Security, agora você pode implantar um firewall de aplicativo da Web (WAF) para proteger suas APIs em um ambiente distribuído e multinuvem. O complemento permite a integração perfeita de segurança forte com gateways de API NGINX implantados em qualquer lugar – nuvem pública, nuvem privada, bare-metal, VMs ou contêineres.

Fiel aos “valores fundamentais” do NGINX, o Controller App Security é leve, independente de plataforma e de alto desempenho. Como alcançamos alto desempenho? O WAF é colocalizado com o gateway de API NGINX, então há um salto a menos para o tráfego de API, reduzindo a latência e a complexidade. Isso contrasta fortemente com as soluções típicas de gerenciamento de API, que não se integram a um WAF. Você precisa implantar o WAF separadamente e, uma vez configurado, o tráfego da API precisa atravessar o WAF e o gateway da API separadamente. A forte integração do Controller App Security significa alto desempenho sem comprometer a segurança.

Desenvolvido com base na comprovada experiência em segurança da F5, o Controller App Security fornece proteção pronta para uso contra as 10 principais vulnerabilidades do OWASP API Security, além de vulnerabilidades comuns, como injeção de SQL e execução remota de comando (RCE). O complemento verifica cookies, JSON e XML malformados e também valida tipos de arquivo permitidos e códigos de status de resposta. Ele garante a conformidade com HTTP RFCs e detecta técnicas de evasão usadas para mascarar ataques.

Visibilidade e análise aprimoradas

O Controller App Security fornece uma variedade de métricas e insights sobre diferentes tipos de ataques. Isso inclui as principais ameaças do WAF e APIs direcionadas, principais assinaturas para investigações de falsos positivos, estatísticas de resultados do WAF e eventos de violação do WAF. Esse nível de visibilidade ajuda a resolver a vulnerabilidade de registro e monitoramento insuficientes (API10) no OWASP API Security Top 10 2019.

As capturas de tela a seguir ilustram apenas algumas das métricas que você pode monitorar:

  • O número de tipos específicos de violação durante as últimas três horas, em comparação com o mesmo período do dia anterior.

  • Os modos de execução aplicados ao tráfego de API durante as últimas três horas.

  • Os principais tipos de ataque nas últimas seis horas.

  • Registro de eventos de segurança durante os últimos 30 minutos.

Políticas flexíveis e ajustadas

O Controller App Security oferece controle flexível e ajustado sobre as políticas de segurança. Conforme mostrado nesta captura de tela, você pode definir os modos de bloqueio e somente monitoramento: no segundo modo, o tráfego malicioso é registrado, mas ainda encaminhado para o servidor de API. Você também pode desabilitar assinaturas padrão para reduzir falsos positivos.

Esta captura de tela mostra uma lista das assinaturas que estão bloqueando a maioria das chamadas de API, informações que você pode usar para priorizar quais assinaturas precisa ajustar para reduzir falsos positivos.

Segurança de API amigável ao DevOps

O Controller App Security permite que você fortaleça o DevOps habilitando o autoatendimento e removendo gargalos operacionais entre as equipes de segurança e DevOps, além de oferecer suporte à automação e integrar o WAF nativamente aos pipelines de CI/CD. Esses recursos promovem o movimento shift-left , no qual desenvolvedores e equipes de DevOps aplicam a segurança mais cedo no ciclo de desenvolvimento de software (especialmente durante a fase de teste), integrando-a ao pipeline de CI/CD. A segurança da API não é tratada como algo secundário – ela é parte integrante do processo de desenvolvimento da API, o que resulta em menos problemas na produção.

Quer experimentar o NGINX Controller App Security para gerenciamento de API? Baixe uma avaliação gratuita de 30 dias ou entre em contato conosco para discutir suas necessidades de segurança de API .


"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."