Spoiler alert: Ja, Prisma Cloud kan förmodligen leverera API-säkerhet (resultatet kan variera) – men det är din molnarkitektur som avgör vad som är en optimal lösning för dig.
Kan Prisma Cloud leverera API-säkerhet?
API-säkerhet uppmärksammas alltmer. Vi hör om det från analysföretag såsom Gartner och kan läsa om det i media. Med tanke på att DevOps har förändrat arkitekturen hos många applikationer är det en logisk utveckling.
Här kommer jag att undersöka om Prisma Cloud kan vara ett rätt val för API-säkerhet hos dina molnresurser och – om så är fallet – varför inte använda din molnleverantörs inbyggda tjänst istället?
Varför API-säkerhet?
År 2021 förutspådde Gartner att API-attacker (Application Programming Interface) skulle vara den vanligaste attackvektorn 2022. Vi brukar analyserar den globala utvecklingen med hjälp av data från OWASP API Security project. 2022 års resultat har inte publicerats ännu, men vi kan konstatera att API-attacker orsakade flera stora cyberangrepp. Ett exempel är Optus-dataintrånget, som berodde på bruten användarautentisering i den exponerade API:n. Ett annat är Twitters dataintrång 2021.
Frikoppling (decoupling) av komponenter och mikrotjänster är vanliga DevOps-tekniker. Det betyder att moderna applikationer har många API:er – både för extern kommunikation och för individuella komponenter. Med fler API:er ökar attackytan.
Vad är Prisma Cloud Web-Application och API-säkerhet?
Prisma Cloud är en säkerhetsplattform för ditt moln – se textrutan för mer information. En av delarna i Prisma Cloud är en distribuerad webbapplikationsbrandvägg (WAF) som kan granska och förstärka HTTP-baserade webbapplikationer, inklusive TLS och gRPC.
Webbapplikationens brandvägg har det passande namnet Web-Application and API Security (WAAS).
WAAS fungerar som en transparent applikationsproxy som upptäcker och skyddar samtidigt som den påverkar din applikations- och utvecklingspipeline så lite som möjligt. I Kubernetes, till exempel, distribueras proxyn som en DaemonSet som integreras med nätverket så att du inte behöver röra din applikation eller ens podden som kör applikationen. WAAS fungerar som en proxy för dina arbetsresurser i molnet, såsom virtuella maskiner, containers, serverlösa funktioner och ”serverlösa container”-lösningar på de flesta offentliga moln.
Conscias rekommendationer för API-säkerhet
Conscia har tagit fram en lista rekommenderade åtgärder för att säkra dina API:er, som vi delat i Conscia ThreatInsights newsletter.
Nedan får du reda på hur du implementerar åtgärderna med hjälp av Palo Alto Networks Prisma Cloud-plattform.
Rekommendation 1
Börja med att identifiera och katalogisera API-endpoints i din app. Den här överblicken kommer att hjälpa ditt cybersäkerhetsteam att hantera API:risker.
Hur gör du det?
Prisma Cloud kan automatiskt upptäcka API-endpoints i din app, visa en användarrapport och låta dig exportera alla identifierade endpoints. När API-detektion är aktiverad kontrollerar Prisma Cloud all API-trafik som går via dina skyddade applikationer.
Rekommendation 2
Konfigurera automatiska säkerhetstester för varje API. Funktionell testning som säkrar att dina applikationer fungerar som de ska är viktigt, men säkerhetstester som undersöker tillförlitligheten och säkerheten hos varje API är absolut avgörande.
Hur gör du det?
Prisma Cloud använder API-definitionsfiler som antingen generas av avändare eller av plattformen med hjälp av discovery. Prisma Cloud skannar API-definitionen och genererar en rapport för alla fel eller brister såsom strukturella problem, äventyrad säkerhet, bästa praxis och så vidare.
Rekommendation 3
API:er ska ”faila” säkert – och du ska känna till konsekvenserna.
Hur gör du det?
Du kan konfigurera Prisma Clouds åtgärder baserat på förfrågningar som inte överenstämmer med API:ens förväntade beteende.
Rekommendation 4
Om du äger en lösning inom hotprevention adderar du API:er här. Då kan du stänga av API:erna tills en misstänkt händelse har undersökts och åtgärdats.
Hur gör du det?
Prisma ger insyn i din applikations API-hälsa, inklusive API-endpoints sökväg, sårbarheter i underliggande arbetsbelastningar, riskprofil på felkonfigurationer, bästa praxis, exponering för känslig data och åtkomstkontroll etc.
När hälsoinformation från dina API:er vidarebefodras till din hotförebyggande lösning kan du agera på misstänkta händelser.
Rekommendation 5
Granska varför API:et skapats och skräddarsy åtkomsten därefter. För externa API:er ska du begränsa dataexponeringen till lägsta möjliga nivå.
Hur gör du det?
Prisma Cloud tillåter kontroll över hur applikationer och slutanvändare kommunicerar med den skyddade webbapplikationen. Anpassade regler ger dig en extra väg för att beskriva och upptäcka små förändringar i frågor och svar.
Rekommendation 6
Tjänster bör inte ”faila” i ett öppet eller tillgängligt tillstånd. I händelse av en API-attack måste du förhindra all API-access.
Hur gör du det?
Använd en av åtgärderna Alarm, Förhindra eller (tillfälligt) Blockera på förfrågningar som utlöser ett Prisma Cloud-skydd.
Prisma Cloud kan automatisera säkerhetstester för API:er genom att använda fördefinierade API-säkerhetstester som kontrollerar API-specifika hot såsom DDoS-attacker, SQL-injektion och cross-site scripting (XSS).
När är Prisma Cloud rätt val?
Varför skulle du använda en tredjepartslösning istället för molnets inbyggda tjänster? Svaret är inte binärt – molnets egen tjänst kan mycket väl täcka dina behov.
I offentliga moln är det vanligt med en molnbaserad API-gateway som frontar din arbetsbelastning, det vill säga container, serverlösa funktioner eller virtuella datorer. Om din API-gateway paras ihop med WAF och DDoS får du ett brett skydd.
Men om du behöver skydda kommunikationen mellan tjänster som körs i molnet med hjälp av L7-inspektion behöver du sannolikt en annan lösning. Det finns molnbaserade verktyg som du kan använda för att bygga en lösning, men dessa kräver ofta egen kodning och eget byggande.
Ett annat argument för Prisma Cloud är om du har arbetsresurser i mer än ett moln och inte vill bygga och underhålla flera lösningar. I det fallet kan en API-säkerhetslösning, som stödjer dina molnleverantörer, från en tredjepartsleverantör vara ett attraktivt val. Här finns fler alternativ än Prisma Cloud.
Välkommen att höra av dig om du vill veta mer om API-säkerhet!
