Kan Prisma Cloud levere API-sikkerhed til din cloud løsning?

Spoiler: det kan det højst sandsynligt (hvor meget kan variere), men din cloud-arkitektur afgør, om det er den bedste løsning for dig.

Introduktion

API-sikkerhed får mere og mere opmærksomhed. Det hører vi fra analysevirksomheder som Gartner, og vi ser det i medierne. Og det giver mening ud fra det perspektiv, at DevOps har ændret arkitekturen i mange applikationer i dag.

I dette blogindlæg vil jeg undersøge, om Prisma Cloud kan være en brugbar kandidat som API-sikkerhed til dine cloud-ressourcer, og selv hvis den kan, kunne du så ikke bare bruge de indbyggede services, som din offentlige cloud-leverandør tilbyder i stedet?

Hvorfor API-sikkerhed?

I 2021 forudsagde Gartner, at i 2022 ville API-angreb (Application Programming Interface) blive den hyppigste angrebsvektor. For at bekræfte dette på et globalt plan, stoler vi normalt på data leveret af OWASP API Security-projektet – resultaterne er dog stadig ikke tilgængelige. Ikke desto mindre kan vi spore cyber-angreb, der var forårsaget af API-angreb. For eksempel skyldtes det nylige Optus-brud kompromitteret brugergodkendelse i det udsatte API. Også Twitter-databruddet fra 2021 involverede udnyttelse af en API-sårbarhed.

I DevOps arbejdsgange er afkobling af komponenter og brug af mikroservices populære metoder. Men det betyder også, at en moderne applikation har mange API’er – både til ekstern kommunikation men også mellem de enkelte komponenter. Og med flere API’er kommer en større angrebsflade.

Hvad er Prisma Cloud Web-applikation og API-sikkerhed?

Prisma Cloud er en sikkerhedsplatform til din sky – se tekstboks for flere detaljer.
En af komponenterne inkluderet i Prisma Cloud er en distribueret webapplikations firewall (WAF), der kan inspicere og håndhæve HTTP-baserede webapplikationer inklusiv TLS og gRPC.

Webapplikationens firewall er passende navngivet Web-Application and API Security (WAAS).

WAAS fungerer som en transparent applikationsproxy, der er implementeret, så den interfererer meget lidt med din applikations- og udviklings-pipeline, mens den stadig detekterer og beskytter. For eksempel er proxyen i en Kubernetes implementeret som et DaemonSet, der integreres med netværket, så du ikke behøver at røre ved din applikation eller den pod, der kører applikationen. WAAS fungerer som en proxy for dine cloud workloads, såsom virtuelle maskiner, containere, serverløse funktioner og “serverløse container”-løsninger på de fleste offentlige clouds.

Prisma Cloud

Prisma Cloud er en sikkerhedsplatform til din cloud, hvilket betyder, at det er en suite af sikkerhedsprodukter, der beskytter dine ressourcer i clouden. Gartner har kaldt denne produktkategori Cloud Native Application Protection Platform eller CNAPP. Prisma Cloud er bygget til cloud og for at gøre sit arbejde, integreres den direkte med “cloud fabric”, dvs. cloud native services. Prisma Cloud understøtter de store cloud-leverandører Azure, AWS, GCP osv. og kan også understøtte arbejdsopgaver, der hører til i eget datacenter.

En af tjenesterne i Prisma Cloud-pakken er API-sikkerhed, hvilket er det, vi ser på her.

Conscia API-sikkerhedsanbefalinger

I Conscia har vi lavet en liste over API-sikkerhedsanbefalinger. Denne liste er blevet delt i vores Conscia ThreatInsights nyhedsbrev

Vores liste over API-sikkerhedsanbefalinger inkluderer handleplaner til, hvad du skal gøre for at sikre din APIer.

Afsnittet nedenfor omhandler, hvordan du kan bruge Palo Alto Networks Prisma Cloud-platform til at implementere disse handlinger.

Anbefaling 1

Start med at identificere og katalogisere samtlige API’er, der bruges. At have et sådant overblik vil hjælpe dit cybersecurity team med at håndtere de risici, der er involveret med API’er.

Hvordan kan du gøre dette?
Prisma Cloud kan automatisk detektere API endepunkterne i din app, vise en brugsrapport og lade dig eksportere alle identificerede endepunkter. Når API detektion er aktiveret, inspicerer Prisma Cloud API trafik dirigeret til dine beskyttede applikationer.

Anbefaling 2

Konfigurer automatiske sikkerhedstests for hver enkelt API. Funktionstest er vigtige, da de sikrer, at din applikation kører som forventet. Sikkerhedstests er dog essentielle, fordi de undersøger pålideligheden og sikkerheden af ​​det enkelte API.

Hvordan kan du gøre dette?
Prisma Cloud bruger API definitionsfiler, som enten kan leveres af brugeren eller genereres af platformen ved hjælp af discovery. Prisma Cloud scanner API definitionen og genererer en rapport for eventuelle fejl eller mangler såsom strukturelle problemer, kompromitteret sikkerhed, bedste praksis og så videre.

Anbefaling 3

API’er skal fejle sikkert – og du skal kende konsekvenserne af fejl.

Hvordan kan du gøre dette?
Du kan konfigurere de handlinger Prisma Cloud anvender på anmodninger, der ikke overholder API’ens forventede adfærd.

Anbefaling 4

Hvis du ejer trusselsforebyggelsespakker, skal du tilføje dine API’er til dem, så du skal lukke API’erne ned, hvis der opdages noget mistænkeligt, indtil hændelsen kan undersøges og afhjælpes.

Hvordan kan du gøre dette?
Prisma giver dig indblik i din applikations API tilstand, herunder API endepunkts sti, sårbarheder i de underliggende workloads, risikoprofil-baserede fejlkonfigurationer, bedste praksisser, eksponering af følsomme data, adgangskontrol mv.

API tilstandsoplysningerne kan videresendes til din foretrukne trusselsforebyggelsespakke, hvilket giver dig mulighed for at reagere på mistænkelige hændelser.

Anbefaling 5

Lav en gennemgang af, hvem eller hvad det enkelte API er designet til at betjene, og skræddersy adgangen i overensstemmelse med dette. For eksterne API’er skal du sørge for, at du begrænser dataeksponeringen til det absolut nødvendige.

Hvordan kan du gøre dette?
Prisma Cloud giver mulighed for kontrol over, hvordan applikationer og slutbrugere kommunikerer med den beskyttede webapplikation. Brugerdefinerede regler er udtryk, der giver dig en præcis måde at beskrive og opdage diskrete betingelser i anmodninger og svar.

Anbefaling 6

Tjenester bør ikke fejle i en åben eller tilgængelig tilstand. I tilfælde af et API angreb skal du sørge for at forhindre enhver adgang via API.

Hvordan kan du gøre dette?
Anmodninger, der udløser Prisma Cloud beskyttelse, er underlagt en af ​​følgende handlinger: Alarmering, forhindre eller (midlertidig) forbyd.

Resumé

Hvorfor ville du bruge en 3. parts løsning og ikke bare cloudens indbyggede tjenester? Svaret er ikke binært – måske er cloud-tjenesten tilstrækkelig til din brugssituation.

Et ofte brugt mønster i public clouds er at bruge en cloud-native API-gateway, der fronter dine workloads, dvs. containere, serverløse funktioner eller VM’er. Og denne API-gateway kan parres med WAF og DDoS, hvilket giver en bred perimeterbeskyttelse.

Men hvis du har brug for at beskytte kommunikationen mellem tjenester, der kører i cloud ved hjælp af L7-inspektion, har du ofte brug for en anden løsning. Der er cloud-native værktøjer, som du kan bruge til at skabe en løsning, men disse kræver ofte noget gør-det-selv kodning og at sætte ting sammen.

En anden case for Prisma Cloud kunne være, at du har workloads i mere end én cloud og gerne vil undgå at bygge og vedligeholde flere løsninger – i så fald kunne en 3. parts API sikkerhedsløsning med support til dine valgte cloud-udbydere være attraktiv. Bemærk, at dette argument her går i retning af enhver tredjeparts cloud-sikkerhedsløsning, ikke kun Prisma Cloud.