想要守護應用系統安全,不只是關注底層系統平臺的健全,上層執行的應用程式也是關鍵,都有多種層面需要留意,單是存取應用程式的管道上,不只是可透過大家熟悉的瀏覽器、行動App,還可以運用API呼叫來進行,前兩者的資安管控已發展多年,API管理與安全性防護卻是多數人都很陌生的議題。

隨著軟體應用程式數量快速增長,所提供與使用的API更是爆量,已經多到企業難以掌握的程度,不知道自家應用系統到底涉及多少支API,而這些API甚至有可能是非法或未列管;而且,為了方便使用,API的設計方式很開放,對於API的存取與驗證並未採取嚴謹的監控;更可怕的是,部分設計不良或管控不佳的API,有可能會暴露或洩漏大量機敏資料與個資。

針對這些需求,市場上陸續出現多種產品,有些是經由網站應用程式防火牆(WAF)、DoS防護、機器人防護(Bot Defense)供應,有些則是透過API閘道、API管理、API探查(API Discovery)等專屬系統來因應。

而以應用程式遞送控制器(ADC)與4到7層(L4-7)負載平衡器聞名的F5,持續耕耘這個領域,今年2月宣布併購API安全新創公司Wib,而能基於他們在應用程式維運階段提供的API安全解決方案,延伸到應用程式開發階段,提供資安漏洞偵測與可觀測性處理功能,以便在API進到正式環境之前,就能識別風險與套用控管政策,並強調他們這幾年持續擴充與推廣的Distributed Cloud WAAP,可提供涵蓋API整個生命週期的安全解決方案,而不需採購與管理個別的API安全解決方案,就能以單一平臺執行API的探查(Discovery)、測試、態勢管理,以及執行時期的防護。

結合Wib平臺之後,F5提供的解決方案稱為Distributed Cloud API Security,主打哪些特色?

  

首先,可在新API進到正式環境使用之前,導入漏洞識別、嚴格的政策強制實施、精準描述等管控機制,大幅減少資安空窗期(相關技術應該源於Wib);第二,具備明確的法規遵循指引,對於資安團隊與資安長而言,可運用即時的標準與法規遵循報告產生能力;第三,賦予廣泛的API探查機制,可涵蓋應用系統程式碼使用的第三方API,以及未列管的API,而這些API可以是位於網際網路的,或是透過App遙測所參考的API;第四,提供兼具API探查與強制控管的單一解決方案,能處理程式碼至執行時期的協定、政策與組態設定(後三者源於F5 Distributed Cloud Services)。

  

若以API探查與防護而言,F5 Distributed Cloud API Security可提供5種功能。首先是API程式碼分析,能在API部署至正式環境之前,先行探查API端點與評估它們的資安風險;第二是API測試,可探測是否具有資安漏洞,並在程式碼與流量分析處理當中,驗證所偵測到的可能資安威脅;第三是API法規遵循分析,可透過滿足客戶端的法規需求,確保API安全態勢;第四是API威脅面評估,可監控企業與組織的公開數位資產是否採用新API,以及資安治理無法管轄的API;第五是API安全性融合引擎,可建立高度整合的解決方案,能夠橫跨各種資訊來源,驗證是否存在資安威脅、漏洞,以及所得到的相關洞察分析情報。

  

產品資訊

F5 Distributed Cloud API Security
●原廠:F5
●建議售價:廠商未提供
●主要功能:API探查、API綱要學習、API綱要匯入、OpenAPI規格驗證、API存取與驗證強化、API與應用程式線上安全政策強制實施、API監控、API用量圖解、敏感資料偵測與遮罩、API認證探查、API風險評分
●資安防護機制:WAF特徵碼比對、應用層DoS緩解、限速、IP信譽比對、黑白名單控管

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement