Spoiler: Ja, mest sannsynlig. Akkurat i hvor stor grad vil kunne variere, og skyarkitekturen din avgjør om det er den beste løsningen for deg.
Introduksjon
API-sikkerhet får mer og mer oppmerksomhet. Dette hører vi fra analyseselskaper som Gartner, og vi ser det i media. Det er fornuftig ut fra perspektivet at DevOps har endret arkitekturen til mange applikasjoner i dag.
I dette blogginnlegget skal jeg utforske om Prisma Cloud kan være en levedyktig kandidat for API-sikkerhet for skyressursene dine. Og hvis det skulle være tilfellet – hvorfor kan du ikke bare bruke de innebygde tjenestene din offentlige skyleverandør tilbyr i stedet?
Hvorfor API-sikkerhet?
I 2021 spådde Gartner at i 2022 ville (Application Programming Interface) API-angrep bli den hyppigste angrepsvektoren. For å få dette bekreftet på globalt nivå, stoler vi vanligvis på data levert av OWASP API Security-prosjektet – men resultatene er foreløpig ikke tilgjengelige. Likevel kan vi finne cyberangrep, forårsaket av API-angrep. For eksempel skyldtes det nylige Optus-bruddet kompromittert brukerautentisering i det eksponerte API-et. Også Twitter-databruddet i 2021 innebar utnyttelse av en API-sårbarhet.
I DevOps arbeidsmetodikk er frakobling av komponenter og bruk av mikroservices populære metoder. Men det betyr også at en moderne applikasjon har mange APIer – både for ekstern kommunikasjon, men også mellom de enkelte komponentene. Og med flere APIer kommer en større angrepsflate.
Hva er Prisma Cloud Web Application og API-sikkerhet?
Prisma Cloud er en sikkerhetsplattform for nettskyen din. En av komponentene som er inkludert i Prisma Cloud er en distribuert webapplikasjons-firewall (WAF) som kan inspisere og håndheve HTTP-baserte webapplikasjoner, inkludert TLS og gRPC.
Webapplikasjons-firewallen har det passende navnet Web-Application and API Security (WAAS).
WAAS fungerer som en transparent applikasjonsproxy som er implementert for å gi så få forstyrrelser som mulig på applikasjons- og utviklingspipeline, samtidig som den fortsatt detekterer og beskytter. For eksempel er proxyen i Kubernetes implementert som et DaemonSet som integreres med nettverket slik at du ikke trenger å røre applikasjonen eller pod’en som kjører applikasjonen. WAAS fungerer som en proxy for dine cloud workloads; virtuelle maskiner, containere, serverløse funksjoner og «serverless container»-løsninger i de fleste offentlige clouds.
Prisma Cloud
Prisma Cloud er en suite med sikkerhetsprodukter som beskytter ressursene dine i skyen. Gartner har kalt denne produktkategorien Cloud Native Application Protection Platform, eller CNAPP. Prisma Cloud er bygget for skyen, og for å kunne gjøre jobben sin, integreres den direkte med «cloud fabric», dvs. cloud native services. Prisma Cloud supporterer de store skyleverandørene som Azure, AWS, GCP osv. og kan også supportere oppgaver som hører hjemme i eget datasenter.
En av tjenestene i Prisma Cloud-pakken er API-sikkerhet, som er det vi ser på her.
Conscias API-sikkerhetsanbefalinger
Vi har laget en liste over API-sikkerhetsanbefalinger med tilhørende handlingsplaner. Denne listen har blitt delt i vårt Conscia ThreatInsights-nyhetsbrev
Avsnittet nedenfor diskuterer hvordan du kan bruke Palo Alto Networks Prisma Cloud-plattform for å implementere disse handlingene.
Anbefaling 1
Start med å identifisere og katalogisere alle APIer som brukes. Å ha en slik oversikt vil hjelpe cybersikkerhetsteamet ditt med å håndtere risikoene forbundet med APIer.
Hvordan kan du gjøre dette?
Prisma Cloud kan automatisk detektere API-endepunktene i applikasjonen din, vise en bruksrapport og la deg eksportere alle identifiserte endepunkter. Når API-deteksjon er aktivert, inspiserer Prisma Cloud API-trafikk rettet til dine beskyttede applikasjoner.
Anbefaling 2
Konfigurer automatiske sikkerhetstester for hvert enkelt API. Funksjonstester er viktige da de sikrer at applikasjonen din kjører som forventet. Imidlertid er sikkerhetstester viktige fordi de undersøker påliteligheten og sikkerheten til den enkelte API.
Hvordan kan du gjøre dette?
Prisma Cloud bruker API-definisjonsfiler, som enten kan leveres av brukeren eller genereres av plattformen ved hjelp av Discovery. Prisma Cloud skanner API-definisjonen og genererer en rapport for eventuelle feil eller mangler, som strukturelle problemer, kompromittert sikkerhet, beste praksis og så videre.
Anbefaling 3
APIer må feile trygt – og du må vite konsekvensene av feil.
Hvordan kan du gjøre dette?
Du kan konfigurere handlingene Prisma Cloud bruker for forespørsler som ikke samsvarer med API’ets forventede oppførsel.
Anbefaling 4
Hvis du eier threat prevention-løsninger, legg til API-ene dine i dem slik at når noe mistenkelig oppdages, så må du stenge API-ene fram til hendelsen er undersøkt og eventuelt rettet.
Hvordan kan du gjøre dette?
Prisma gir deg innsikt i applikasjonens API-tilstand, inkludert API-endepunktstien, sårbarheter i de underliggende workloads, risikoprofilbaserte feilkonfigurasjoner, beste praksis, eksponering av sensitiv data, tilgangskontroll, etc.
Informasjon om helsestatus på API’et kan videresendes til din foretrukne threat prevention-løsning, slik at du kan agere på mistenkelige hendelser.
Anbefaling 5
Gjennomgå hvem eller hva hvert API er utformet for å betjene, og skreddersy tilganger deretter. For eksterne API’er, sørg for at du begrenser dataeksponeringen til det som er absolutt nødvendig.
Hvordan kan du gjøre dette?
Prisma Cloud gir deg kontroll over hvordan applikasjoner og sluttbrukere kommuniserer med den sikrede web-applikasjonen. Egendefinerte regler er uttrykk som gir deg en presis måte å beskrive og oppdage diskrete betingelser i forespørsler og svar.
Anbefaling 6
Tjenester skal ikke svikte i en fail-open eller fail-accessible tilstand. I tilfelle et API-angrep, sørg for å forhindre enhver tilgang via API.
Hvordan kan du gjøre dette?
Forespørsler som utløser Prisma Cloud-beskyttelse er underlagt en av følgende handlinger: Varsling, beskytt eller (midlertidig) lukk.
Sammendrag
Hvorfor bør du bruke en tredjepartsløsning og ikke bare skyens innebygde tjenester? Svaret er ikke binært – kanskje er skytjenesten tilstrekkelig for din brukssituasjon.
Et vanlig mønster i offentlige skyer er å bruke en cloud native API-gateway som fronter dine workloads, dvs. containere, serverløse funksjoner eller VM-er. Denne API-gatewayen kan pares med WAF og DDoS, og gir bred perimeterbeskyttelse.
Hvis du imidlertid trenger å beskytte kommunikasjon mellom tjenester som kjører i skyen ved hjelp av L7-inspeksjon, trenger du ofte en annen løsning. Det finnes skybaserte verktøy som du kan bruke for å lage en løsning, men disse krever ofte noe DIY-koding og å sette sammen ting.
Et annet tilfelle for Prisma Cloud kan være at du har workloads i mer enn en cloud og ønsker å unngå å bygge og vedlikeholde flere løsninger – i så fall kan en tredjeparts API-sikkerhetsløsning, med støtte for dine valgte skyleverandører være attraktive. Merk at dette argumentet her går i retning av enhver tredjeparts skysikkerhetsløsning, ikke bare Prisma Cloud.