關於API安全問題F5的加固解決方案是什麼？

　　
　　目前互聯網上50%以上的流量產生於機器人BOT，當大量機器人模擬正常的業務訪問來請求API網關時，這種應用層DDoS攻擊會對API網關帶來巨大的性能開銷，致使API安全問題，所以找到加固解決方案很重要，而關於API安全問題F5的加固解決方案是很是受歡迎的。

　　關於API安全問題F5的加固解決方案是什麼？
　　

　　關於API安全問題F5的加固解決方案，主要涉及：AFM高級防火牆模塊、LTM負載均衡模塊、SSLO 加解密流量編排模塊、AWAF 高級應用層防禦模塊、APM 認證受權策略管理模塊、HSL高速日誌引擎。

　　AWAF 高級應用層防禦模塊

　　*針對API安全問題的防禦，首先須要瞭解數據和API應用的結構，F5 AWAF 支持將OpenAPI及Swagger配置文件導入，根據配置文件自動生成路徑策略，並按不一樣的API路徑提供不一樣深度的保護。經過嚮導式配置方法，極大提升了防禦部署的便捷性。
　　

　　*協議內容檢查：經過對XML，JSON報文體的識別，檢查報文格式中存在的安全隱患和攻擊特徵，例如報文體長度限制，特殊字符的濫用，屢次編碼，參數錯誤，惡意代碼上傳等。

　　*訪問方式限定：限定API接口的訪問方法（例如只容許GET，POST ，不容許其餘訪問方法），阻斷非正常的訪問方式，可下降API自己漏洞被利用的機率。
　

　　*掃描阻斷：阻斷攻擊者對API網關漏洞的掃描，提升API網關的安全性，下降應用服務的暴露面。

　　*暴力破解防禦：此類攻擊會對API安全問題網關的性能產生巨大的消耗，讓大量的資源消耗在鑑權上。AWAF高級應用層防禦模塊能夠自動學習AJAX登陸頁面，根據預先設定的訪問閾值策略進行自動的暴力破解防禦。
　　

　　*敏感數據泄露：支持自定義數據的隱藏，有效保護數據的私密性。

　　*機器人防護：基於多個維度進行機器人的防禦，經過機器人特徵庫，快速屏蔽惡意機器人攻擊；對於API接口，AWAF利用X-Security-Update-URL報文頭將JavaScript腳本插入到API安全問題應用返回的第一個回覆報文中，後續經過X-Security-Request判斷其API訪問是請求的合法性。在整個API訪問的過程當中，AWAF會持續遞進經過中地檢測API交互，確保機器人BOT沒法繞過檢測，使得API網關不被機器人攻擊所影響。
　　

　　*應用層DDoS攻擊防禦：API DDoS攻擊一般模擬正常的API訪問流程，瞄準消耗API網關性能較高的資源進行攻擊，從而達到使API網關癱瘓，業務中斷的目的。AWAF防禦模塊能夠經過多個維度來檢測API DDoS攻擊，經過Java script來有效控制API的訪問頻率，達到下降DDoS攻擊影響的目的。同時，AWAF還會基於API網關返回的延遲狀況來判斷API安全問題是否存在異常，網絡中是否存在攻擊。當API網關返回的延遲高於設定的閾值時，AWAF模塊會主動介入，對流量進行主動檢測和攻擊的防禦。
　　

　　*IP地址信譽庫防禦：API DDoS攻擊也存在一種利用大量離散IP以低頻的形式攻擊API網關，從而起到繞過防禦設備針對每秒請求數限制的防禦手段的效果。AWAF防禦模塊能夠提供IP地址信譽庫功能，與第三方威脅情報組織合做，實時更新IP信譽庫，對於此類低頻的DDoS攻擊，能夠起到良好的防禦做用。目前IP地址信譽庫容納了多種惡意地址庫分類，例如匿名代理，惡意代理，SPAM，釣魚網絡，僵屍網絡等等。一旦訪問IP來源包含在這些地址分類中，會直接被阻斷。
　

　　*新建API接口防禦策略的靈活調用：現在的API接口開發遵循持續迭代，持續交付的體系，並不斷對應用框架作優化和開發模板的統一，從而能夠實現應用的快速、灰度發佈，敏捷發版與回收。傳統的安全運維方式，在策略部署方式難以跟上應用開發的步伐。這就對應用安全類產品可否嵌入到開發流程中，完成安全策略的自動下發，測試並配合應用發版提出了要求。F5 AWAF 產品具有AS3模塊，提供聲明式模板，以模板的形式完成安全策略的調用。安全運維人員能夠將API應用分類，按不一樣類型制定防護策略的模板，API應用在開發流程中可經過AS3模塊自動調用AWAF上相關的防護策略模板，從而實現API安全問題部署與業務發佈效率的並行。