对于F5 API加固解决方案,次要波及:AFM高级防火墙模块、LTM负载平衡模块、SSLO 加解密流量编排模块、AWAF 高级应用层防护模块、APM 认证受权策略管理模块、HSL高速日志引擎。本文谈判及AWAF应用层防护相干的内容:
针对API的防护,首先须要理解数据和API利用的构造,F5 AWAF 反对将OpenAPI及Swagger配置文件导入,依据配置文件主动生成门路策略,并按不同的API门路提供不同深度的爱护。通过向导式配置办法,极大进步了防护部署的便捷性。
协定内容查看:通过对XML,JSON报文体的辨认,查看报文格式中存在的安全隐患和攻打特色,例如报文体长度限度,特殊字符的滥用,屡次编码,参数谬误,恶意代码上传等。
拜访形式限定:限定API接口的拜访办法(例如只容许GET,POST ,不容许其余拜访办法),阻断非正常的拜访形式,可升高API自身破绽被利用的概率。
扫描阻断:阻断攻击者对API网关破绽的扫描,进步API网关的安全性,升高应用服务的裸露面。
暴力破解防护:此类攻打会对API网关的性能产生微小的耗费,让大量的资源耗费在鉴权上。AWAF高级应用层防护模块能够主动学习AJAX登录页面,依据事后设定的拜访阈值策略进行主动的暴力破解防护。
敏感数据泄露:反对自定义数据的暗藏,无效爱护数据的私密性。
机器人进攻:基于多个维度进行机器人的防护,通过机器人特色库,疾速屏蔽歹意机器人攻打;对于API接口,AWAF利用X-Security-Update-URL报文头将JavaScript脚本插入到API利用返回的第一个回复报文中,后续通过X-Security-Request判断其API拜访是申请的合法性。在整个API拜访的过程中,AWAF会继续递进通过中地检测API交互,确保机器人BOT无奈绕过检测,使得API网关不被机器人攻打所影响。
应用层DDoS攻打防护:API DDoS攻打通常模仿失常的API拜访流程,瞄准耗费API网关性能较高的资源进行攻打,从而达到使API网关瘫痪,业务中断的目标。AWAF防护模块能够通过多个维度来检测APIDDoS攻打,通过Java script来无效管制API的拜访频率,达到升高DDoS攻打影响的目标。同时,AWAF还会基于API网关返回的提早状况来判断API网关是否存在异样,网络中是否存在攻打。当API网关返回的提早高于设定的阈值时,AWAF模块会被动染指,对流量进行被动检测和攻打的防护。
IP地址信用库防护:APIDDoS攻打也存在一种利用大量离散IP以低频的模式攻打API网关,从而起到绕过防护设施针对每秒申请数限度的防护伎俩的成果。AWAF防护模块能够提供IP地址信用库性能,与第三方威逼情报组织单干,实时更新IP信用库,对于此类低频的DDoS攻打,能够起到良好的防护作用。目前IP地址信用库包容了多种歹意地址库分类,例如匿名代理,歹意代理,SPAM,钓鱼网络,僵尸网络等等。一旦拜访IP起源蕴含在这些地址分类中,会间接被阻断
新建API接口防护策略的灵便调用:现在的API接口开发遵循继续迭代,继续交付的体系,并一直对利用框架做优化和开发模板的对立,从而能够实现利用的疾速、灰度公布,麻利发版与回收。传统的平安运维形式,在策略部署形式难以跟上利用开发的步调。这就对利用安全类产品是否嵌入到开发流程中,实现安全策略的主动下发,测试并配合利用发版提出了要求。F5 AWAF 产品具备AS3模块,提供申明式模板,以模板的模式实现安全策略的调用。平安运维人员能够将API利用分类,按不同类型制订进攻策略的模板,API利用在开发流程中可通过AS3模块主动调用AWAF上相干的进攻策略模板,从而实现平安部署与业务公布效率的并行。