数字经济的飞速发展,为人们衣食住行的方方面面带来了深刻的改变,数字化体验带来的极大便利的同时,也在推动着数字化应用如雨后春笋般的不断涌现。根据研究机构IDC的报告表明,从2019年到2025年,应用的数量呈现出至少5倍的增长趋势,预计到2025年,全球的应用规模将达到48亿。而应用爆炸式的增长,催生了应用间API访问接口的数量激增,众多企业也在借助API接口与互联网的Web技术创造API经济价值。
在云原生时代,应用追求更加细化的颗粒度,大多数应用以微服务形式构建,API 的使用带来应用结构分散化,API复杂的混合部署环境,以及企业为持续性进行软件开发,快速构建更多的API,都会为企业带来复杂且容易产生风险的API管理和安全挑战。同时,API的漏洞风险导致恶意 API 攻击流量的剧增,造成数据隐私泄密企业生产延迟,也容易对 API 安全策略缺乏信心,最终将损害企业业务的创新和发展。
F5作为全球应用交付和应用安全的领导者,针对API的安全可信访问做了大量的方案整合,打造出F5 API安全可信访问解决方案,覆盖从数据中心到边缘计算到云端的完整安全框架,为企业提供三大安全防护能力,帮助企业构筑应用安全的新防线。
能力一:零信任接入 构筑API安全的第一道防线
根据F5《2022年应用安全策略现状报告》显示,78% 的受访企业表示已实施或计划在未来12个月内实施 API 安全措施,以API安全为中心的安全防护成为了确保企业安全无虞的重要关键。针对企业所采取的API安全措施,调查结果表明,基于身份验证和授权的安全防护是企业对 API 漏洞的关键风险管理响应。不仅如此,在Web应用安全研究组织OWASP近期更新的 API TOP 10中,“失效的对象级授权”被列为防护的关键。由此可见,解决应用零信任接入控制成为了保障 API 安全第一道重要防线。
F5 API安全可信访问解决方案整合应用零信任接入,提供重点防护失效的对象级授权,在API访问流程中,能够做到在外部API访问和内部API调用间进行API接入的持续性安全验证,实现对接入控制的权限限制,保证接入应用的安全性。此外,F5采用的全代理模式,能够实现一边对接客户,一边对接应用,用户来回之间的请求会经过F5的层层安全检查,可以实现对敏感信息的修改、隐藏,以及对攻击行为的及时阻断,确保每个应用的安全。
能力二:不同部署环境 享受一致的安全防护
如今,应用正处于爆发式增长,需要有底层架构来支撑所有应用的运行。因此,为了能够支撑应用快速上线、发布,企业通常将以往用在数据中心层面的部署形式拓展到边缘层,扩展到公有云、容器云,甚至扩展到CDN、网络交付等层面。面对数字化转型的演进,企业的API往往部署在不同环境下,能否提供一致的安全防护能力成为摆在IT团队面前的一大难点。
F5 API安全可信访问解决方案通过声明式API,云原生应用接口安全防护NAP(NGINX App Protec)快速实现安全即代码,并将AWAF、NAP形成融合统一的一致性策略,实现API 现代应用自动化防护,帮助企业更快地识别和阻止API漏洞,从而快速部署API,并降低管理运维成本。作为一家应用交付和应用安全双一流的技术厂商,F5凭借多年的安全创新发展,使得F5在公有云、私有云、边缘云、容器云等环境中无处不在,能够在复杂多样性的部署环境下,为企业提供如影随形的一致性安全防护能力。
能力三:API接口互联互通 驱动数字经济的价值重塑
互联网的蓬勃发展,推动全球科技企业通过开放Web API接口将企业的产品和服务与第三方互联,无论数据还是客户的行为习惯,越来越多的企业都在依赖API创造经济价值。然而,随着API接口和第三方互联的开放逐步扩增,底层的通讯协议在API的发展过程中也发挥着巨大作用,企业现有的安全防护能力是否能识别每一种API传输协议,实现可信、可控的访问,是企业面临的一大挑战。
F5 API安全可信访问解决方案可实现多种通信传输协议识别,并可对违规行为进行精准监测。例如基于IoT设备之间使用的MQTT协议,微服务之间采用的GraphQL协议、gRPC协议,HTTP协议利用的RESTful等,F5将安全能力从工作的负载层,扩展至网络层、数据层、应用层,使得承载应用的环境,也具有相应的防护手段。具体来说,在网络层,F5具备L3-L4 DDoS防火墙能力;在数据传输层,F5具有协议层面的合规性以及加解密能力;在应用层,F5可提供针对WAF、API、BOT或者应用零信任API Token持续认证和授权安全接入。F5层层过滤、识别和防护的全栈安全防护能力,为企业筑牢创造API经济的安全屏障。
数字驱动技术转型的变革时代,F5从“随时随地保护、交付、优化任何应用和API”的安全战略出发,不断扩增安全基因,为企业应用进行精准的安全防护,推动API创造的“数字经济巨轮”行稳致远。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
关键词: