O que é proteção de API e aplicativo da Web (WAAP)?

Proteção de API e aplicativo da Web (WAAP) refere-se a um conjunto integrado de serviços de segurança que trabalham juntos para mitigar riscos de segurança de APIs e aplicativos da Web.

Significado de WAAP

As soluções WAAP protegem contra riscos de segurança de aplicativos contra explorações de vulnerabilidades, bots, ataques automatizados, negação de serviço, fraude e abuso, e integrações inseguras de API de terceiros. 

Os controles de segurança integrados permitem que as organizações melhorem a visibilidade com insights acionáveis que podem impedir ataques específicos, bem como identificar campanhas de ameaças coordenadas que abrangem vários vetores de ameaça.

O que são APIs e API Gateways?

Interfaces de programação de aplicativos (APIs) são a maneira mais comum de conectar usuários, aplicativos e serviços entre si em um ambiente de TI moderno. A maioria dos aplicativos modernos é criada usando APIs — interfaces de software que permitem que aplicativos ou serviços se comuniquem e permitem a interatividade entre produtos e serviços na forma de solicitações e respostas. No entanto, mais APIs significam mais superfície de ataque. À medida que as APIs se tornam mais comuns e são distribuídas em arquiteturas de microsserviços, é necessária infraestrutura adicional para garantir escalabilidade e segurança.

Para aplicativos baseados em microsserviços, um gateway de API atua como um único ponto de entrada no sistema e é responsável pelo roteamento de solicitações, composição e aplicação de políticas. Ele lida com algumas solicitações simplesmente encaminhando-as para o serviço de backend apropriado e lida com outras invocando vários serviços de backend e agregando os resultados.

Os gateways de API também têm recursos de segurança integrados para proteger APIs de ameaças comuns e também fornecem funções de segurança críticas, incluindo o gerenciamento de controle de acesso, autenticação e autorização para suas APIs, garantindo que somente usuários autenticados e autorizados possam acessá-las.

Um gateway de API pode ser implantado na frente de um cluster Kubernetes como um balanceador de carga (nível de vários clusters), em sua borda como um controlador Ingress (nível de cluster) ou dentro dele como uma malha de serviço (nível de serviço). Para implantações de gateway de API na borda e dentro do cluster Kubernetes, é uma prática recomendada usar uma ferramenta nativa do Kubernetes como o gateway de API. Essas ferramentas são fortemente integradas à API do Kubernetes, oferecem suporte a YAML e podem ser configuradas por meio da CLI padrão do Kubernetes.

Usar um gateway de API junto com uma solução WAAP pode fornecer camadas de segurança adicionais que se complementam.  Por exemplo, um gateway de API se concentra principalmente em gerenciar e proteger o acesso a APIs, enquanto uma solução WAAP protege aplicativos da web e APIs de uma ampla gama de ameaças de segurança, incluindo vulnerabilidades OWASP Top 10, ataques DDoS e tráfego de bots, e oferece recursos avançados, como inteligência de ameaças e detecção de anomalias baseada em comportamento.  

Por que a proteção de API e Web App é importante?

Envolver os clientes com experiências digitais atraentes e seguras é um imperativo comercial e foco principal para líderes de segurança e risco. O cálculo de risco versus recompensa que tenta equilibrar segurança e usabilidade nunca foi tão difícil, importante ou lucrativo como agora na economia digital moderna. 

Escolha sem precedentes, baixa tolerância do cliente a atrito ou falha e implicações regulatórias crescentes estão mudando a perspectiva da segurança de um centro de custo para um diferencial digital competitivo. Além disso, os aplicativos estão cada vez mais descentralizados e distribuídos, implantados em arquiteturas heterogêneas e multi-nuvem e integrados em cadeias de suprimentos de software complexas e pipelines de CI/CD. 

Diagrama WAAP 1

Figura 1: Os aplicativos estão cada vez mais descentralizados e distribuídos

A crescente sofisticação de bots e ataques automatizados e a proliferação de endpoints de API devido ao aumento do uso de aplicativos móveis e ao desenvolvimento de aplicativos modernos expandem drasticamente a superfície de ameaças e introduzem riscos imprevistos de integrações de terceiros.

O ciclo de vida do ataque industrializado começa com a automação e termina com apropriação de contas e fraude.

Diagrama WAAP 1

Figura 2: Os ataques de aplicativos são persistentes e sofisticados

 

Uma solução WAAP representa a evolução do mercado WAF para áreas adjacentes, especificamente gerenciamento de bots , segurança de API e mitigação de DDoS .

Um WAF que se integra com centros de depuração de DDoS baseados em nuvem historicamente é qualificado como WAAP, independentemente de o WAF ser um hardware ou dispositivo virtual em um data center, nuvem privada ou nuvem pública. No entanto, o mercado está em um ponto de inflexão em que muitas organizações preferirão plataformas WAAP baseadas em nuvem , na forma de segurança como serviço .

Há vários fatores que estão aumentando o interesse em plataformas WAAP baseadas em nuvem:

  1. A necessidade de tecnologia especializada em gerenciamento de bots para impedir fraudes e abusos
  2. Controles de descoberta e aplicação de API que podem mitigar riscos de integrações de terceiros
  3. Manutenção contínua de políticas por meio de APIs, estruturas de desenvolvimento e pipelines de CI/CD
  4. Proteções automatizadas e correção de falsos positivos usando IA alimentada por humanos

WAFs baseados em dispositivos que se integram a serviços de segurança baseados em nuvem com foco em resultados comerciais continuarão como opções viáveis, até mesmo preferidas, em setores altamente regulamentados, como o de serviços bancários e financeiros (BFSI).

Como avaliar um serviço WAAP em nuvem

Eficácia e facilidade de uso são frequentemente citadas como principais critérios de compra para WAAP.

O melhor WAAP da categoria ajuda as organizações a melhorar sua postura de segurança na velocidade dos negócios, mitigar comprometimentos sem atrito ou falsos positivos excessivos e reduzir a complexidade operacional para proteger consistentemente arquiteturas híbridas de várias nuvens contra vulnerabilidades críticas, abuso de lógica de negócios e riscos imprevistos. 

Os principais recursos incluem:

  • Observabilidade universal em toda a infraestrutura nativa da nuvem e na pilha completa de aplicativos
  • Descoberta e aplicação de API dinâmica
  • Resiliência durante a reformulação, escalada e evasão do invasor

Como funciona a proteção de API e Web App?

As soluções WAAP reduzem o risco de comprometimento, exfiltração de dados, aquisição de conta e tempo de inatividade do aplicativo ao integrar vários controles de segurança para proteger os aplicativos, incluindo:

  • Firewall de aplicativo da Web (WAF)
  • Gerenciamento de bots
  • Segurança da API
  • Mitigação de DDoS

As soluções WAAP estão disponíveis em vários formatos:

  1. Dispositivos WAF físicos/virtuais que se integram com serviços de segurança baseados em nuvem
  2. Instâncias WAF baseadas em microsserviços que se integram com serviços de segurança baseados em nuvem
  3. Plataformas WAAP baseadas em nuvem com controles de segurança WAF, Bot, API e DDoS integrados

As soluções WAAP também incluem segurança do lado do cliente para detectar scripts/skimming maliciosos (como ataques Magecart ), controles de segurança para evitar ataques por meio de agregadores maliciosos e proteção de conta que impede a tomada de conta por fraude manual.

As soluções de proteção de infraestrutura de aplicativos (AIP) fortalecem ainda mais a segurança dos aplicativos e melhoram a correção por meio da descoberta dinâmica de vulnerabilidades e da segurança da carga de trabalho na nuvem, evitando a exploração e o abuso da infraestrutura subjacente por meio da integração com controles WAAP.

Como o F5 lida com a proteção de API e aplicativos da Web?

As soluções F5 WAAP se adaptam nativamente a qualquer arquitetura, nuvem e modelo operacional, fornecendo às equipes de segurança e risco visibilidade universal e aplicação consistente de políticas para proteger aplicativos legados e modernos, do núcleo à nuvem e à borda. As soluções WAAP da F5 oferecem flexibilidade e escolha em relação ao modelo de implantação e ao modelo operacional.

O F5 Distributed Cloud WAAP oferece observabilidade incomparável, juntamente com um grande data lake do mundo real, e algoritmos de aprendizado de máquina permitem que os clientes da F5 adotem serviços de valor agregado (VAS) baseados em IA, por exemplo, inteligência de autenticação, que otimiza transações legítimas de clientes ao melhorar a personalização e remover atritos para aumentar a retenção, a conversão e a fidelidade.

Diagrama WAAP 1

Figura 3: Plataforma de proteção de API e aplicativo da Web em nuvem distribuída F5

O F5 NGINX também oferece diversas opções para implantar e operar um gateway de API, dependendo dos seus casos de uso e padrões de implantação. As ferramentas universais incluem o F5 NGINX Plus , que pode ser implantado como um gateway de API leve e de alto desempenho em ambientes de nuvem, locais e de ponta.

As ferramentas nativas do Kubernetes incluem o NGINX Ingress Controller , que gerencia a conectividade de aplicativos na borda de um cluster do Kubernetes com recursos de gateway de API, identidade e observabilidade.