เข้าสู่เว็บไซต์ดีลเลอร์ สมัครดีลเลอร์
EN TH CLM

การป้องกันความปลอดภัยให้กับ Real-Time APIs ด้วย NGINX Advanced Security Solution

ถ้าคุณได้ติดตามข่าวสาร เกี่ยวกับเทคโนโลยี ในปัจจุบันดูเหมือนว่า จะเห็นข่าวการละเมิดความปลอดภัยอยู่เสมอ ซึ่งในการละเมิดความปลอดภัยมีรูปแบบการโจมตีบน API มากขึ้นเรื่อย ๆ สาเหตุ เกิดจากที่ Application ในปัจจุบัน มีในการสื่อสารหรือแลกเปลี่ยนข้อมูลกันผ่านการใช้งาน API เป็นหลัก ทำให้เป็นช่องทางในการโจมตีได้ง่ายขึ้นด้วยเช่นกัน

ในรายงาน The State of Application Strategy in 2021 จากทาง F5 Network ผลจากจำนวนผู้ตอบแบบสอบถาม มากกว่า 58% บอกว่า พวกเขากำลังสร้างระบบ API สำหรับแอปพลิเคชันสมัยใหม่ (Modernize Applications) ด้วยการเพิ่มขึ้นของ DevOps, Cloud และ Microservice ทำให้แอปพลิเคชันและ APIs ต้องรองรับการใช้งานในสภาพแวดล้อมที่สามารถขยายตัวได้ง่าย และสามารถทำงานได้ทุกสภาพแวดล้อม อย่างเช่น

  • โครงสร้างพื้นฐานแบบ On-Premise, Cloud และ Hybrid Cloud
  • สภาพแวดล้อมแบบ Development, Testing, Stagging, Sandbox และ Production
  • Internal APIs ที่อำนวยความสะดวกในการสื่อสารของนักพัฒนาโปรแกรมและปลดล๊อค ข้อมูลบางอย่างให้ง่ายต่อการเข้าถึง
  • External APIs ที่เปิดให้บริการกับ Customer, Partner และ Third-party เข้ามาใช้งานในการพัฒนาระบบ

API Gateway จะเป็นตัวกลางในการสื่อสารของทราฟฟิค API โดยฟังก์ชันในการทำ Request Routing, Authentication/Authorizing API Client และใช้งาน Rate Limits สำหรับการป้องกันแต่ละ API ของ Services กรณีที่เกิด Overload ในการใช้งาน APIs ซึ่งลูกค้า NGINX จำนวนมากประสบความสำเร็จในการติดตั้ง API Gateway ข้ามระบบสภาพแวดล้อมแบบกระจายตัว (Distributed Environments)

จากรายงาน 2021 Application Protection Report จากทาง F5 Network นั้น เกือบสองในสามของเหตุการณ์ที่ถูกโจมตีและถูกเปิดเผยนั้น สาเหตุเกิดจากมาจาก​ API ไม่มีกลไกการตรวจสอบสิทธิ์หรือการได้รับอนุญาต (Authentication or Authorization).

โดยที่ NGINX Controller API Management Module ได้มีการเตรียมฟังก์ชันหลากหลายในการป้องกัน API อย่างเช่น

  •  Rate Limiting คือ สามารถกำหนดนโยบาย Rate limiting สำหรับการป้องกัน APIs เพื่อบรรเทาการโจมตี DDoS ด้วยการกำหนดขีดจำกัดจำนวน Client Request บน API Gateway ในแต่ละบริการของ API ในช่วงเวลาหนึ่งๆ นั้น จะช่วยแก้ไขปัญหาในเรื่อง Lack of Resources and Rate Limiting (API14) ช่องโหว่ใน OWASP API Security Top 10 2019.
  • Authentication and Authorizationือ กระบวนการระบุตัวตนและการให้สิทธิ์ โดยต้องตรวจสอบให้แน่ใจว่าเป็น ไคลเอนต์ที่มีสิทธิ์การเข้าถึงที่ถูกต้องเท่านั้น ที่สามารถใช้ API ได้ กลไกหนึ่งที่ใช้คือ Claims ใน JSON Web Tokens (JWTs). จะช่วยแก้ไขปัญหาช่องโหว่ได้ 3 เรื่องใน OWASP API Security Top 10 2019.: Broken Object Level Authorization (API1), Broken User Authentication (API2), และ Broken Function Level Authorization (API5).

 

Advanced Security สำหรับ API Management

ตอนนี้ NGINX Controller API Management Module ได้เพิ่มความสามารถในส่วนของ API Security เพื่อป้องกัน APIs Endpoint ให้กับบริการของ Modern Application ได้แบบง่ายๆ และมีความปลอดภัยสูง

Distributed API Security in Any Environment

ด้วยความสามารถของ NGINX Controller App Security เราสามารถติดตั้ง Web Application Firewall (WAF) ในการป้องกัน APIs Endpoint แบบ Multi-Cloud ได้ง่าย ด้วยการเปิดการใช้งานความปลอดภัยบน NGINX API Gateway ที่สามารถติดตั้งได้บนระบบ Public Cloud, Private Cloud, Bare-metal, VMs หรือ Containers.

โดยปกติแล้วในส่วนของ Web Application Firewall (WAF) กับ API Gateway จะถูกติดตั้งแยกกัน เลยทำให้เกิดความซับซ้อน (Complexity) และทำให้แอปพลิเคชันเกิดช้าหรือหน่วง (Latency) ซึ่งในกรณีของ NGINX Controller API Management สามารถใช้งาน Web Application Firewall (WAF) เพื่อทำ API Security ได้สำหรับป้องกันการโจมตีในรูปแบบต่าง ๆ ที่เกิดขึ้น มีคุณสมบัติเรื่องของ Lightweight, Platform agnostic และ High Performance.

NGINX Controller App Security ถูกสร้างและพัฒนาจากทีม F5 Security Expertise โดยใส่ความสามารถในเรื่องการป้องกันการโจมตีต่าง ๆ ตามข้อมูลช่องโหว่ของ OWASP API Security Top 10 ร่วมถึงช่องโหว่ทั่วไปที่รู้จักเช่น SQL Injection, Remote Command Execution (RCE) เป็นต้น ทำการเพิ่มในส่วนของ การตรวจสอบ Malformed cookies, JSON, XML และตรวจสอบการอนุญาตให้ใช้งาน File Types ต่าง ๆ พร้อมการตรวจสอบ response status code พร้อมทั้งมีการตรวจสอบ Compliance ตาม HTTP RFCs ที่ถูกต้อง และการตรวจสอบเทคนิคการทำ Evasion เพื่อใช้ในการลบเลี่ยงการตรวจจับการโจมตี

Enhanced Visibility และ Analytics

Controller App Security สามารถดูค่า Metrics ที่หลากหลายและข้อมูลเชิงลึกเกี่ยวกับการโจมตีในรูปแบบที่แตกต่างกัน มีการแสดงถึงภัยคุกคามที่เกิดขึ้นบ่อย (Top WAF Threats) และเป้าหมายของ APIs  แสดง Top Signature สำหรับ False Positive Investigations, WAF outcome statistics, และ WAF Violation events ซึ่งจะช่วยให้เห็นในระดับตาม ช่องโหว่เรื่องของ Insufficient Logging & Monitoring vulnerability (API10) ของ OWASP API Security Top 10 2019.

ตัวอย่าง หน้าต่างของ NGINX Controller App Security สำหรับ Metrics ต่าง ๆ

  • แสดงจำนวนประเภทการละเมิดความปลอดภัย เฉพาะช่วง 3 ชั่วโมงที่ผ่านมา เทียบกับช่วงเวลาเดียวกันในวันก่อนหน้า

  • แสดงโหมดการบังคับนโนบายความปลอดภัย สำหรับ API Traffic ในช่วง 3 ชั่วโมงที่ผ่านมา

  • แสดงประเภทการโจมตีสูงสุด ในช่วง 6 ชั่วโมงที่ผ่านมา

  • แสดงการบันทึกเหตุการณ์ความปลอดภัย ในช่วง 30 นาทีที่ผ่านมา

ความยืดหยุ่น และการปรับแต่ง นโยบายความปลอดภัย (Fine-Tuned Policies)

NGINX Controller App Security่วยให้เกิดความยืดหยุ่น การปรับแต่งการตั้งค่าที่สามารถควบคุมนโยบายความปลอดภัยได้ง่าย โดยสามารถกำหนดโหมดของความปลอดภัยแบบ Blocking และ Monitoring-Only ได้ ซึ่งในการโหมด Monitoring-Only นั้นเป็นการเก็บข้อมูลการใช้งานของ Malicious Traffic เท่านั้นแต่ยังคงส่งข้อมูลต่อไปให้กับ API Endpoint เช่นเดิม และยังสามารถทำการ Disable ค่าเริ่มต้นของ Signature ได้เพื่อช่วยลด False Positives ได้ง่าย จากภาพที่แสดงด้านล่าง

จากหน้าต่างด้านล่างเป็นรายการของ Signatures ที่มีการ Blocking จากการร้องขอ API Calls เข้ามา ข้อมูลที่แสดงจะทำให้คุณสามารถใช้เป็นรายการหลักหรือความสำคัญของ Signature นำไปปรับแต่งการตั้งค่าเพื่อลดเรื่อง False Positives.

DevOps-Friendly API Security

          Controller App Security ช่วยให้คุณเพิ่มขีดความสามารถของ DevOps กำหนดการตั้งค่าต่าง ๆ ได้ด้วยตัวเองและลดขั้นตอนความยุ่งยากในการทำงานร่วมกันระหว่างทีม Security และ DevOps ตลอดจนรองรับการทำงานอัตโนมัติ (automation) ในการทำร่วมกันกับ CI/CD pipeline ได้ง่าย ส่งผลให้รูปแบบการพัฒนาแอบพลิเคชันสมัยใหม่นั้นมีการเพิ่มความปลอดภัยเข้าไปอยู่ใน Software Development Life Cycle (SDLC) ได้สมบูรณ์แบบ

ศึกษาข้อมูลเพิ่มเติม

https://www.nginx.com/blog/fortifying-apis-with-advanced-security/

https://www.nginx.com/products/nginx-controller/api-management/

https://www.nginx.com/products/nginx-app-protect/

สอบถามข้อมูลเกี่ยวกับผลิตภัณฑ์ F5 ได้ที่วีเอสที อีซีเอส (ประเทศไทย) โทร. 0-2032-9999 อีเมล : This email address is being protected from spambots. You need JavaScript enabled to view it.

SOCIAL MEDIA

facebook instagram tiktok youtube
เกี่ยวกับเรา

เกี่ยวกับเรา

ร่วมงานกับเรา

ข่าวสารองค์กร

คำประกาศเกี่ยวกับความเป็นส่วนตัว (Privacy Notices)

สินค้า

สินค้าแยกตามหมวดหมู่

สินค้าแยกตามแบรนด์

โปรโมชัน

ติดต่อเรา

สมัครดีลเลอร์

เข้าสู่เว็บไซต์ดีลเลอร์

ติดต่อเรา

การใช้และการจัดการคุกกี้

บริษัทมีการใช้คุกกี้บนเว็ปไซต์ของบริษัทในการเก็บข้อมูลการใช้งานของท่าน เพื่อมอบประสบการณ์ที่ดีในการใช้เว็ปไซต์และตรงตามความต้องการของลูกค้า ท่านสามารถเลือกตั้งค่ายินยอมการใช้คุกกี้ได้โดยเข้าไปที่หน้าการตั้งค่าบราวเซอร์และตั้งค่าความเป็นส่วนตัว และสามารถศึกษารายละเอียดเพิ่มเติมเกี่ยวกับนโยบายการใช้คุกกี้

นโยบายการใช้คุกกี้