文档章节

遇到API安全问题怎么办?F5 API加固解决方案怎么样?

 梅丽莎好
发布于 2019/10/20 18:14
字数 1665
阅读 28
收藏 0

【推荐】2019 Java 开发者跳槽指南.pdf(吐血整理) >>>


  在各种APP泛滥的现在,背后都有同样泛滥的API接口在支撑,其中鱼龙混杂,直接裸奔的WEB API大量存在,安全性令人堪优在以前都采用自已定义的接口和结构,对于公开访问的接口,专业点的都会做下安全验证,数据签名之类。反而现在,谁都可以用WEB API估接口,安全性早忘一边了,特别是外包小公司的APP项目,安全漏洞非常大。那么问题来了,如果遇到API安全问题怎么办?F5 API加固解决方案怎么样?

  API安全问题找F5,因为F5 有专门针对这个问题的解决方案,并且就目前来看,取得的效果还是很不错的。下面就给大家科普一下吧。

  F5 API加固解决方案简介
 

  关于F5 API加固解决方案,主要涉及:AFM高级防火墙模块、LTM负载均衡模块、SSLO 加解密流量编排模块、 Advanced WAF(API安全-新一代WAF) 高级应用层防护模块、APM 认证授权策略管理模块、HSL高速日志引擎。在此谈及 ADVANCED WAF(API安全-新一代WAF)应用层防护相关的内容:

  Advanced WAF(API安全-新一代WAF) 高级应用层防护模块

  针对API安全问题的防护,首先需要了解数据和API应用的结构,F5 Advanced WAF

  (API安全-新一代WAF) 支持将OpenAPI及Swagger配置文件导入,根据配置文件自动生成路径策略,并按不同的API路径提供不同深度的保护。通过向导式配置方法,极大提高了防护部署的便捷性。
  

  协议内容检查:通过对XML,JSON报文体的识别,检查报文格式中存在的安全隐患和攻击特征,例如报文体长度限制,特殊字符的滥用,多次编码,参数错误,恶意代码上传等。
  

  访问方式限定:限定API接口的访问方法(例如只允许GET,POST ,不允许其他访问方法),阻断非正常的访问方式,可降低API本身漏洞被利用的概率。
 

  扫描阻断:阻断攻击者对API网关漏洞的扫描,提高API网关的安全性,降低应用服务的暴露面。

  暴力破jie防护:此类攻击会对API网关的性能产生巨大的消耗,让大量的资源消耗在鉴权上。 
Advanced WAF WAF(API安全-新一代WAF)高级应用层防护模块可以自动学习AJAX登录页面,根据预先设定的访问阈值策略进行自动的暴力破jie防护。
  

  敏感数据泄露:支持自定义数据的隐藏,有效保护数据的私密性。

  机器人防御:基于多个维度进行机器人的防护,通过机器人特征库,快速屏蔽恶意机器人攻击;对于API接口, Advanced WAF(API安全-新一代WAF)利用X-Security-Update-URL报文头将JavaScript脚本插入到API应用返回的第一个回复报文中,后续通过X-Security-Request判断其API访问是请求的合法性。在整个API访问的过程中, Advanced WAF(API安全-新一代WAF)会持续递进通过中地检测API交互,确保机器人BOT无法绕过检测,使得API网关不被机器人攻击所影响。


  

  应用层DDoS攻击防护:API DDoS攻击通常模拟正常的API访问流程,瞄准消耗API网关性能较高的资源进行攻击,从而达到使API网关瘫痪,业务中断的目的。 Advanced WAF(API安全-新一代WAF)防护模块可以通过多个维度来检测API DDoS攻击,通过Java script来有效控制API的访问频率,达到降低DDoS攻击影响的目的。同时, Advanced WAF(API安全-新一代WAF)还会基于API网关返回的延迟情况来判断API网关是否存在异常,网络中是否存在攻击。当API网关返回的延迟高于设定的阈值时, Advanced WAF(API安全-新一代WAF)模块会主动介入,对流量进行主动检测和攻击的防护。
    

  IP地址信誉库防护:API DDoS攻击也存在一种利用大量离散IP以低频的形式攻击API网关,从而起到绕过防护设备针对每秒请求数限制的防护手段的效果。 Advanced WAF(API安全-新一代WAF)防护模块可以提供IP地址信誉库功能,与第三方威胁情报组织合作,实时更新IP信誉库,对于此类低频的DDoS攻击,可以起到良好的防护作用。目前IP地址信誉库容纳了多种恶意地址库分类,例如匿名代理,恶意代理,SPAM,钓鱼网络,僵尸网络等等。一旦访问IP来源包含在这些地址分类中,会直接被阻断。
 

  新建API接口防护策略的灵活调用:如今的API接口开发遵循持续迭代,持续交付的体系,并不断对应用框架做优化和开发模板的统一,从而可以实现应用的快速、灰度发布,敏捷发版与回收。传统的安全运维方式,在策略部署方式难以跟上应用开发的步伐。这就对应用安全类产品能否嵌入到开发流程中,完成安全策略的自动下发,测试并配合应用发版提出了要求。F5  Advanced WAF(API安全-新一代WAF) 产品具备AS3模块,提供声明式模板,以模板的形式完成安全策略的调用。安全运维人员可以将API应用分类,按不同类型制定防御策略的模板,API应用在开发流程中可通过AS3模块自动调用 Advanced WAF(API安全-新一代WAF)上相关的防御策略模板,从而实现安全部署与业务发布效率的并行,有效的解决API安全问题。
 

© 著作权归作者所有

粉丝 1
博文 79
码字总数 90614
作品 0
荃湾区
私信 提问
API安全问题,F5公司的产品怎么样?好不好啊

     最近一直在听圈内人提起API安全的事,但我还是没怎么弄清楚API安全是怎么一回事,赶巧的是我们公司最近更在和F5公司洽谈API安全的事。   API就是操作系统留给应用程序的一个调用接...

hanniuniu12
2018/08/25
0
0
不再任人欺负!手游安全的进阶之路

Unity 2018开发者大会如期而至。 每年的Unity大会都致力呈现以新锐技术与社区精神为核心的全新Unity生态圈,传播Unity最前沿的技术功能,帮助各类创意人才使用Unity进行高效的内容创作,充分...

网易云易盾
2018/05/13
0
0
Android App Bundle出来了,App加壳技术不能用了怎么办?

Google I/O大会上,Google向 Android 引入了新 App 动态化框架(Android App Bundle, AAB),被看作是对Android未来发展具有颠覆性的动态化解决方案。在给Android App带来便利的同时,也给移...

工作的事
2019/05/20
64
0
Redis缓存数据库安全加固指导(一)

背景 在众多开源缓存技术中,Redis无疑是目前功能最为强大,应用最多的缓存技术之一,参考2018年国外数据库技术权威网站DB-Engines关于key-value数据库流行度排名,Redis暂列第一位,但是原生...

中间件小哥
2018/08/21
65
0
不打补丁抵御攻击,奇安信发布第三代安全引擎“天狗”

雷锋网(公众号:雷锋网)消息,即使不打补丁,也要有效抵御攻击。基于这条思路,1 月 17 日,奇安信集团发布了第三代查行为的安全引擎——奇安信“天狗”。 “天狗”引擎有三个创新点。 第一,...

李勤
昨天
0
0

没有更多内容

加载失败,请刷新页面

加载更多

dynamic-connectivity 动态连通性问题之 quick-union 算法

quick-union 的思想是:若对象 p 的 root_id 和对象 q 的 root_id 相等,则认为 p 和 q 连通。 若要将对象 p 和对象 q 连通(已知两对象未连通),则将 p 的 root_id 的值设为 q 的 root_id ...

Phpythoner_Alei
今天
33
0
OSChina 周六乱弹 —— 实在选不出来就唱国歌

Osc乱弹歌单(2020)请戳(这里) 【今日歌曲】 @花间小酌 :#今日歌曲推荐# 分享阿冗的单曲《你的答案》。--祝大家在2020年都找到自己答案。 《你的答案》- 阿冗 手机党少年们想听歌,请使劲...

小小编辑
今天
12
1
Maven打包可执行Jar包的方法

在使用Java开发中,会使用到将工程打包成可执行的jar包的情况,那么在maven中怎么将项目中的依赖包都添加到jar中呢。在pom.xml中添加一下插件: <build><plugins><plugin><ar...

CapJes
今天
10
0
使用vue 开发地图类系统(openlayers.js)的注意。

使用vue 开发地图类系统的注意。 1、使用地图应该创建的对象 少使用 vue 的data 和计算属性(comments)存数据或是vuex。 为什么要要注意这个问题呢? 答:这个就要了解到vue的实现原理 。原理...

DY-Tao
昨天
7
0
web移动端学习:高德地图demo(一)

在高德地图开发中申请开发者资格,然后在控制台中新建应用,获得KEY; 新建模板HTML文件; <!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>地图demo</title><scri......

dxiya
昨天
8
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部