{{indPage.title}} /{{BreadCrumbs}}
F5 2020/11/05
API 數位經濟的資安框架
API 數位經濟的資安框架是 F5 Networks 針對未來 API 經濟爆炸性成長之下的政府、金融以及企業在面對從 API 創建、發佈、管理、安全及透析提供一個完整前瞻性的框架,這個框架不僅完全符合政府及金管會 API Security 五大規範,並更近一步提供從安全角度的透析有價資訊,讓 API 開放的善意初衷不被惡意的駭客循路入侵,造成整個生態系的災難,F5 Networks 建議的框架架構從數據開放的端口就開始防禦所有可能的進階威脅包含 OWASP TOP10 攻擊、DDoS 分散式阻斷攻擊、資源消耗惡意攻擊,不去防護 API 的閘口,就如水能載舟也能覆舟的危險,而 F5 Networks 提供的 API Security 產品方案讓企業政府在透過 API 發展新型態網路應用時,安全無虞並更加速數據的傳遞與效能。
API 數位經濟的資安框架的考量要點
基礎的 API 安全模型主要依賴於身份驗證,限制和通信安全性,而進階增強的 API 安全會追踪流量,洞察安全性的歷史趨勢。
基礎 API 安全 | 負載平衡和速率限制(客戶端限制) 通訊和網路加密(SSL / TLS) 訪問控制(令牌/密鑰驗證) |
進階 API 安全 | JSON,XML,WebSocket 等格式異常檢測 惡意特徵碼檢查 防止惡意機器人( Bot ) 行為 DDoS 檢測和預防 |
機器學習增強的 API 安全 | 對 API 流量的深入了解:趨勢分析,歷史攻擊,異常檢測 |
API 服務在建置初期即應充分考量安全方面的處理,這包含 DDOS 防禦,BOT 自動化程式防禦, XML/JSON 等內容防護,協定安全,認證、授權,SSL 加解密等。儘管有些功能可以透過自行發展建置於軟體應用系統中,但這些功能完全可以透過在部署專業的 API 安全設備或模組來進行,這使得後端 API 服務自身可以更加專注在對外服務的提供上。
API 數位經濟的資安框架主要建議從以下角度考量
容器與微服務的整合
我們預期未來大多數的 API 服務會建置於以容器形式運行在 kubernetes 之上,對容器與微服務的整合能力將至關重要。
流量控制
流量控制表現在對連接或請求的控制上,避免突發請求造成 API 服務能力的下降或不可用,這包含 API 的併發請求數,單位時間調用數,連接限制能力,TCP 佇列能力以及 TCP 連接複用能力等方面。甚至在極端情況下對 API 能力的主動熔斷與降級。
存取控制
存取控制是對請求參數的控制,例如對 XML 或 JSON Schema 的校驗,對請求 URI 中的參數細細微性控制能力,確保有害請求無法影響業務系統。
監控跟蹤
即時提供對 API 的監控,包括:請求數、調用方式、回應時間、失敗率等,並將這些資料集中高性能採集,實現視覺化報表並基於智能學習等方式建立訪問行為、基線資料進行更加深入的分析。
高可用
API 服務平台本身應具備高可用能力,避免局部實例或伺服器故障對業務的影響,在加入新的設備時應能夠做到慢啟動,確保 API 管理閘道可以提供業務能力後方可接入請求;而在變更或下線 API 管理閘道時候又應做到優雅下線,避免已經存在的請求被強行中斷。
高性能/高彈性
API 服務平台本身應具備橫向和縱向的擴容能力,以保證能擁有最佳的擴容方式,一般來說 API 服務平台都以集群形態出現並在前端透過負載均衡類設備提供水準擴展能力。
F5 的 API 數位經濟資安框架與架構建議
應用管理人員越來越需要更加細微性的應用策略路由管理、API 服務與安全架構需要具有更好的擴展性以應對越來越大的業務流量增長,靈活的可協作的兩層架構正是基於解決這些問題而提出,F5 建議如下的 F5 BIG-IP AWAF+ NGINX 兩層架構
使用者流量透過資料中心第一層軟硬體形式 F5 BIG-IP AWAF 設備接入,F5 Networks 定義為 API 安全閘道,這一層主要提供邊界高性能接入負載均衡機制,SSL 卸載擴展,API 安全 (WAF/DDOS/BOT) 防禦,為第二層提供負載分配以實現第二層的API管理閘道的高延展功能與安全防護。
在第二層 API 管理閘道,建議選用 NGINX Plus 產品,選擇 NGINX Plus 並透過 NGINX Controller 可實現統一配置發佈與監控,尤其第二層環境如為容器化環境或希望在第二層上實現基於每 App 的應用發佈與處理,NGINX Plus 的輕量高效的架構尤其能發揮長處,可以將 Web Server、Proxy server、cache server 等面向 Web 服務功能高效整合並極富彈性。
總體來說,雙層式框架是當前政府金融及企業面對建構 API 平台時首選的架構。例如 API 管理閘道的擴展性依賴於第一層 API 安全閘道負載均衡機制,安全防護可在 F5 BIG-IP AWAF 實現 API 方面的深度內容防護,這包含透過智慧學習參數行為並進行控制、機器學習實現基於行為的 DDoS 防禦、對 XML/JSON 進行深度內容識別和檢查。亦可透過基於連接或 URI 請求速率限制來保護 API 管理閘道。
F5 APM 接入管理模組則可實現諸如 SAML、Oauth、OIDC、JWT 驗證能力,透過高性能的 TLS offload 實現資料加密。
在 API 訪問接入上可採用 F5 BIG-IP AWAF提供統一高可靠接入,並實現總入口連接限制、HTTP/JSON/XML安全控制、基於設備指紋的 BOT 防禦管理,API 監控,在具體 API 伺服器前端採用 NGINX 作為 API 管理閘道實現各個 API 的資源定義與發佈,版本化處理,高級訪問策略控制,提供更細緻的 API 安全,在第二層 API 管理閘道的 NGINX Plus 能以更加靈活的軟體形態融入服務作為 API 管理閘道以實現 API 的定義發佈,API 開發者門戶,策略管理、驗證、安全防護、監控分析等能力。
在分析能力方面,F5 BIG IP 與 NGINX 可透過實現日誌的統一輸出,實現集中資料分析與展現,並可將 API 的訪問統計資料與安全日誌統一輸出到企業 API 業務與安全分析平臺進行整合分析,此日誌為全量收集,能進一步自行訂製機器學習智以進行相關商業與安全的進階分析。
在 API 數位經濟時代,API 產品需要不斷的快速反覆迭代以適應市場,因此 API 的開發是典型的敏捷開發模型,這要求圍繞 API 的開發、發佈、管理都要能夠適應 CI/CD 的發布部署流程,F5/NGINX 透過提供諸如 Declarative Onboarding 介面,聲明式配置 AS3 介面、Jenkins、Ansible 集成、NGINX Controller REST API 等豐富多樣的 CI/CD 工具集幫助實現應用開發的快速發佈與部署。