Zaštita javnih web aplikacija i web API-ja

Kako bi napredovale, organizacije stavljaju veći naglasak na digitalno iskustvo svojih klijenata i zaposlenika. To podrazumijeva modernizaciju web aplikacija, ali i povećane sigurnosne izazove.

Moderni pristup izgradnji web aplikacija je modularan, a web aplikacije su raspršene. Njihova modernizacija podrazumijeva oslanjanje na multi-cloud okruženja, korištenje mikroservisa te iskorištavanje komunikacije temeljene na API-jima.

Kontejnerizacija aplikacija postala je norma za razvoj novih aplikacija. Takav pristup povećava fleksibilnost, omogućuje lakšu implementaciju te dovodi do boljih performansi i veće dostupnosti podataka.

S druge strane, zaštita web aplikacija postaje sve kompleksnija. Moderne se aplikacije vrlo brzo razvijaju, a resursi organizacija često ne prate njihov razvoj. Da bi se zaštitile, organizacije trebaju pojednostaviti pristup sigurnosti aplikacija.

Napadači ciljaju javne web aplikacije i web API-je

Površina napada obuhvaća sve javno dostupne dijelove sustava ili servisa, a napadači neprestano traže potencijalne ranjivosti. Javne web aplikacije i web API-ji pritom su jedne od ključnih točaka napada na organizacije.

Za organizacije, posebno su opasni napadi na web API-je, budući da oni omogućavaju komunikaciju između različitih aplikacija i sustava. Jednom kad napadač pronađe ranjivost u API-ju, može dobiti pristup osjetljivim informacijama, izazvati “poremećaje” u sustavu ili čak pokrenuti napade poput SQL injection, XSS (Cross-Site Scripting) i drugih.

Dovoljna je mala ranjivost ili jedna API pristupna točka koja će napadaču dati neograničen pristup osobnim podacima. Prije nego što interni IT timovi uoče problem, može proći dosta vremena. Važno je znati da čak i tradicionalne aplikacije kao web e-mail mogu predstavljati ozbiljnu prijetnju za sigurnost organizacije.

Napadi na web aplikacije proizlaze iz kombinacije ljudskog faktora, pogrešaka u konfiguraciji, nedovoljnog znanja o sigurnosti, kompleksnosti aplikacija te nepostojanja ili loše implementacije sigurnosnih mjera.

Jedan od najčešćih izvora problema je činjenica da se pojedine komponentne nalaze u različitim okruženjima, odnosno na različitim lokacijama (npr., kao kontejner na AWS javnom oblaku ili u on-premise data centru s virtualnim mašinama na vSphere platformi).

Zašto je kompleksnost neprijatelj sigurnosti?

Svaka kompleksnost i otežano upravljanje za napadača može biti prednost. Naime, administratori ili DevSecOps timovi vrlo često nemaju dovoljno vremena ili resursa za kvalitetnu brigu o svim točkama komunikacije. Zaštita samo pojedinih komponenti aplikacije nije dovoljna.

Da bi se zaštitile, organizacije trebaju rješenje temeljeno na distribuiranoj arhitekturi koje omogućava jednostavnu implementaciju, primjerice kroz SAaS model. Takvo rješenje ujedno treba podržati različite modele isporuke – on-prem, mikroservisi, kontejneri ili javni oblak. To znači da tradicionalno Web Application Firewall (WAF) rješenje (koje se u pravilu postavlja na jednoj točki) više nije toliko djelotvorno.

Zaštita web aplikacija uz F5 Networks Distributed Cloud

F5 Distributed Cloud donosi niz sigurnosnih i mrežnih usluga za upravljanje aplikacijama, i sve to kroz SaaS model. Arhitektura olakšava implementaciju, zaštitu i upravljanje aplikacijama u cloud-native okruženjima gdje god je potrebno – u data centru, multi-cloudu ili na razini mreže ili mrežnog ruba.

Distributed Cloud servisi ujedno omogućuju WAF i API zaštitu diljem okruženja (on-premise, privatni ili javni cloud) i za sve aplikacijske komponente. Uz centralizirano upravljanje temeljeno na SaaS-u, zaštita uključuje kontrolu bot prometa, zaštitu od iskorištavanja poznatih ranjivosti i svih potencijalnih rizika do kojih može doći jednom kad aplikacija postane javna.  Za slučaj troubleshootinga pojedinih komponentni aplikacija, korisnicima je na raspolaganju detaljna telemetrija i analitika.