数字化转型背景下如何实现API安全加固？

过去一年里，由于受到新冠疫情影响，企业被迫在前所未有的范围内远程办公，尝试使用新方法来利用技术服务客户。统计显示，进行现代化改造的企业数量比2020年增加了133%。实现应用现代化的方法有很多，通过 API 启用现代接口无疑是具有成本效益的一种。而随着 API 的激增，如何实现API安全加固就成为企业关注的焦点。那么今天我们就来聊聊API网关的安全加固架构与F5 API加固解决方案。
　

API网关安全加固架构

从攻击的角度来看，API网关的安全加固架构与传统应用的安全加固架构类似，分为网络层、交付与传输层、应用层。在API网关的安全加固架构的应用层面，主要关注机器人攻击和漏洞类攻击两个方面：
　

机器人攻击：目前互联网上50%以上的流量产生于机器人BOT，机器人可以模拟正常的业务请求来访问系统，造成API网关系统的资源消耗在无意义的请求上。当大量机器人模拟正常的业务访问来请求API网关时，这种应用层DDoS攻击会对API网关带来巨大的性能开销，导致API网关系统的不可用。故在应用层，需要部署WAF类产品，来识别和防御机器人攻击行为，降低机器人攻击对API网关带来的攻击威胁。

漏洞类攻击：WAF类产品除了对机器人攻击进行防御以外，还需要能够识别针对应用系统的漏洞攻击，例如注入类攻击，跨站类攻击，扫描探测类攻击等等，在处理攻击的同时，WAF需要检测API内容，发现嵌入在API Payload中的攻击代码。部署在API网关前的WAF需要具备可编程能力，实现零日攻击的快速防御。

Advanced WAF(API安全-新一代WAF)高级应用层防护模块

关于F5 API加固解决方案，主要涉及：AFM高级防火墙模块、LTM负载均衡模块、SSLO 加解密流量编排模块、Advanced WAF(API安全-新一代WAF) 高级应用层防护模块、APM 认证授权策略管理模块、HSL高速日志引擎。本文将会谈到Advanced WAF(API安全-新一代WAF)应用层防护相关的内容。
　

针对API的防护，首先需要了解数据和API应用的结构，F5 Advanced WAF(API安全-新一代WAF) 支持将OpenAPI及Swagger配置文件导入，根据配置文件自动生成路径策略，并按不同的API路径提供不同深度的保护。通过向导式配置方法，极大提高了防护部署的便捷性。

机器人防御：基于多个维度进行机器人的防护，通过机器人特征库，快速屏蔽恶意机器人攻击；对于API接口，Advanced WAF(API安全-新一代WAF)利用X-Security-Update-URL报文头将JavaScript脚本插入到API应用返回的第一个回复报文中，后续通过X-Security-Request判断其API访问是请求的合法性。在整个API访问的过程中，Advanced WAF(API安全-新一代WAF)会持续递进通过中地检测API交互，确保机器人BOT无法绕过检测，使得API网关不被机器人攻击所影响。
　　

应用层DDoS攻击防护：API DDoS攻击通常模拟正常的API访问流程，瞄准消耗API网关性能较高的资源进行攻击，从而达到使API网关瘫痪，业务中断的目的。Advanced WAF(API安全-新一代WAF)防护模块可以通过多个维度来检测API DDoS攻击，通过Java script来有效控制API的访问频率，达到降低DDoS攻击影响的目的。同时，Advanced WAF(API安全-新一代WAF)还会基于API网关返回的延迟情况来判断API网关是否存在异常，网络中是否存在攻击。当API网关返回的延迟高于设定的阈值时，Advanced WAF(API安全-新一代WAF)模块会主动介入，对流量进行主动检测和攻击的防护。
　

Advanced WAF(API安全-新一代WAF)应用层防护的功能不止以上两点。此外，还能协议内容检查、访问方式限定、扫描阻断、暴力破解防护、支持自定义数据的隐藏、IP地址信誉库防护以及新建API接口防护策略的灵活调用。

API 的普及对应用安全和交付技术具有重大影响。API 容易遭受攻击，因为从其定义来看，它们将应用逻辑和敏感数据公开给其他应用或第三方。F5 Advanced WAF(API安全-新一代WAF) 产品具备AS3模块，安全运维人员可以将API应用分类，按不同类型制定防御策略的模板，API应用在开发流程中可通过AS3模块自动调用Advanced WAF(API安全-新一代WAF)上相关的防御策略模板，从而实现安全部署与业务发布效率的并行。