安全左移至開發階段 全面控管API潛在風險

2024-06-13
基於網頁應用程式防火牆(WAF)領域累積的專業經驗,F5持續積極運用人工智慧(AI)技術,以增強其技術發展。F5在Distributed Cloud Services打造的WAAP(Web App and API Protection)方案,緊跟現代化應用程式發展與API部署的增加,提供完整的防護力。

近期更透過收購Wib取得自動化漏洞檢測和可觀察性能力,讓API程式碼掃描、測試、分析、發現和流量分析等在整個DevOps流程中的安全機制,都可藉由統一供應商獲得API安全防護,以降低複雜度。

F5台灣區總經理張紘綱指出,過去幾年F5在台灣的市場佔有率顯著提升。「F5在台灣的市佔率提高到78%。除了因競爭對手陸續被收購發生組織異動,使得F5在市場上的競爭地位得以強化,」他引述IDC的調查報告說明,另一股更大驅動力則是金融監督管理委員會(金管會)再次強調API安全防護的重要性,並明確提出三個稽核重點:API盤點、API驗證授權、API安全防護。對此,F5的技術正可發揮擅長。

張紘綱進一步說明,傳統API防護主要針對南北方向的網路流量,可透過部署Gateway來實施控管措施。然而,隨著應用程式演進到微服務架構,十分仰賴API整合運行各種營運業務服務,促使API數量指數型增長,且每個都可能成為潛在滲透入侵管道,因此東西方向的網路流量亦須納入防護,強化盤點與偵測惡意活動以保障資料安全。

對此,F5最新併購的Wib,有助於在應用程式開發過程中實現漏洞檢測,以及提高可觀察性,以確保在API部署到線上營運環境之前能夠識別風險並實施適當的控管措施。

嚴加控管API風險防資料外洩 

目前各產業對於生成式人工智慧(GenAI)的關注度,推動了API數量的迅速增長,進而衍生出前所未見的管理與安全疑慮。F5台灣區資深技術顧問陳廣融認為,數位轉型的企業應用防護策略,應著重於在預防發生資安漏洞,才可有效地降低風險。

隨著企業對於雲端服務,特別是SaaS解決方案的接受度增加,資安服務的提供方式也隨之改變。陳廣融說明,F5的產品線主要包括BIG-IP、NGINX、Distributed Cloud Service,全數皆專注於保護企業對外提供的應用服務。發展策略不僅符合當前的資安趨勢,也可滿足企業應用場景對於靈活彈性部署的需求。例如BIG-IP提供負載均衡及應用交付功能,NGINX為微服務架構提供高效能的反向代理與負載均衡,Distributed Cloud Service則涵蓋雲端分散式服務與安全防護,確保在不同使用情境下提供穩定且安全的服務。

針對當前API安全的疑慮,陳廣融認為,主要是API的設計理念本就為了促進開放的資料結構和標準,從而推動商業的擴展。例如,若要建立一個電子商務網站,可能會需要串接第三方支付服務,這正是透過API實現的。這種開放性設計,意味著API的功能規格和應用服務呼叫的規格,通常都預設從外部網路環境中可見,以促進商業發展。

然而,這種開放性也帶來了安全挑戰。傳統的網頁應用系統可能只需要保護統一的入口,而API的路徑可能包含數十個到數千個甚至更多,這使得控管與保護這些API變得極其困難。相較於過去針對網頁應用程式發動的攻擊,API攻擊的潛在入口更多,攻擊者可以使用少量的攻擊行為進行長時間的試探,這使得防禦方很難發現這些攻擊,因為它們隱藏在數以千計路徑中的少量資料中。

API攻擊的另一個特點是反向操作。陳廣融說明,過去的網頁應用程式漏洞可能會導致攻擊者入侵主站,然後跳轉到其他系統。但API攻擊主要的問題是資料的即時外洩。「因此,F5的核心理念是不僅要即時偵測到威脅,還必須能夠即時阻擋這些威脅,以有效避免資料外洩事件的發生。」

收購Wib取得程式碼檢測技術 

隨著大型語言模型在資安領域開始展現潛力,2023年最新出籠的OWASP Top 10 for Large Language Model Applications,便扮演了通用的風險評估框架,提高開發者、IT人員和資安專家認識常見的安全漏洞。畢竟整合GenAI的必備技術就是API,強化API的安全性成為當務之急。

GenAI的基礎架構通常依賴於Kubernetes,這不僅有助於容器化應用的遷移,也便於使用GPU等實體資源。此外,生成式AI的應用主要是透過API進行連接和管理,允許用戶在多雲環境中靈活地部署和調用資源。

F5台灣區總經理張紘綱(左)與台灣區資深技術顧問陳廣融(右)建議,有效地提升API安全的關鍵,須讓安全機制「左移」,透過統一平台收集資料與分析風險分數,而非拼湊或整合方式建構,才有能力即時發現異常活動。

陳廣融認為,當前應用程式納入GenAI,須依賴分散式的資料來源、模型和服務安排,這些元素分布於本地、雲端和邊緣端,並透過迅速增加的API數量相互連接。為了協助企業應對複雜的安全管理,F5正在把API程式碼檢測與遙測資料的分析技術引入Distributed Cloud Services,為整合GenAI的應用服務打造完整API安全解決方案。F5最新收購的Wib,即為重要的策略目標之一,增加了在應用程式開發過程中的漏洞檢測和可觀察性,能夠在API投入生產之前識別風險並實施控管緩解。

引進AI助理輔助簡化維運 

「F5身為一家負載平衡與WAF技術供應商,長期以來一直在應用服務前端執行防護任務。以往資安管理者與應用開發團隊之間的協同合作相對較少,但隨著API安全防護與DevOps精神的結合,這種協同合作模式正在變得更為緊密。」陳廣融說。開發人員使用左移(Shift Left)策略作為一種主動措施,讓程式碼缺陷在開發管道(Pipeline)中向前推進之前,先一步識別和修復,來提高應用程式安全性。

除了透過WAAP平台提供API的安全管理,F5也正在推動把即時API防護和維運功能以SaaS模式納入到Distributed Cloud平台。藉此F5可完整收集網路流量,並且進行觀測與學習,實施發現、監控和防護策略。包括將原始碼分析納入開發流程中,以識別部署的API規格中的潛在安全威脅,並執行API掃描與測試。

在過去,技術人員需要學習和使用複雜的操作介面或指令列(Command Line)來管理系統。隨著GenAI技術進步飛快,陳廣融指出,今年稍晚,F5亦將發布AI助手,讓維運人員使用自然語言與F5解決方案互動,有助於降低學習曲線。此技術是由F5最新發布的AI Data Fabric提供支援,它將可輕鬆生成資料視覺化、識別異常、查詢和策略配置,讓維運人員即時發現,並快速採取行動回應威脅活動。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!