Zaštita javnih veb aplikacija i veb API-ja

Da bi napredovale, organizacije stavljaju veći naglasak na digitalno iskustvo svojih kupaca i zaposlenih. To podrazumeva modernizaciju web aplikacija, ali i povećane bezbednosne izazove.

Savremeni pristup izgradnji veb aplikacija je modularan, a veb aplikacije su distribuirane. Njihova modernizacija podrazumeva oslanjanje na multi-cloud okruženja, korišćenje mikroservisa i korišćenje komunikacije zasnovane na API-jima.

Kontejnerizacija aplikacija je postala norma za razvoj novih aplikacija. Takav pristup povećava fleksibilnost, omogućava lakšu implementaciju i dovodi do boljih performansi i veće dostupnosti podataka.

S druge strane, zaštita veb aplikacija postaje sve složenija. Savremene aplikacije se razvijaju veoma brzo, a resursi organizacija često ne prate njihov razvoj. Da bi se zaštitile, organizacije treba da pojednostave svoj pristup bezbednosti aplikacija.

Napadači ciljaju javne veb aplikacije i veb API-je

Površina napada obuhvata sve javno dostupne delove sistema ili usluge, a napadači stalno traže potencijalne ranjivosti. Javne veb aplikacije i veb API-ji su jedna od ključnih tačaka napada na organizacije.

Za organizacije su napadi na veb API-je posebno opasni, jer omogućavaju komunikaciju između različitih aplikacija i sistema. Kada napadač pronađe ranjivost u API-ju, može da dobije pristup osetljivim informacijama, izazove „poremećaj“ u sistemima ili čak pokrene napade kao što su SQL injection, XSS (Cross-Site Scripting) i drugi.

Mala ranjivost ili jedna pristupna tačka za API su dovoljni da napadaču daju neograničen pristup ličnim podacima. Može proći dosta vremena pre nego što interni IT timovi primete problem. Važno je znati da čak i tradicionalne aplikacije kao što je veb e-pošta mogu predstavljati ozbiljnu pretnju po bezbednost organizacije.

Napadi na veb aplikacije su rezultat kombinacije ljudskih faktora, grešaka u konfiguraciji, nedovoljnog znanja o bezbednosti, složenosti aplikacije i odsustva ili loše primene bezbednosnih mera.

Jedan od najčešćih izvora problema je činjenica da se pojedinačne komponente nalaze u različitim okruženjima, odnosno na različitim lokacijama (npr. kao kontejner na AWS javnom oblaku ili u on-premise data centru s virtualnim mašinama na vSphere platformi).

Zašto je složenost neprijatelj bezbednosti?

Svaka složenost i teško upravljanje može biti prednost za napadača. Naime, administratori ili DevSecOps timovi vrlo često nemaju dovoljno vremena ili resursa da se pobrinu za sve tačke komunikacije. Zaštita samo pojedinačnih komponenti aplikacije nije dovoljna.

Da bi se zaštitile, organizacijama je potrebno rešenje zasnovano na distribuiranoj arhitekturi koje omogućava jednostavnu implementaciju, na primer kroz SAaS model. Istovremeno, takvo rešenje bi trebalo da podržava različite modele isporuke – on-prem, mikroservise, kontejnere ili javni oblak. To znači da tradicionalno Web Application Firewall  rešenje (koje se obično primenjuje na jednoj tački) više nije tako efikasno.

Zaštita veb aplikacija pomoću F5 Networks Distributed Cloud

F5 Distributed Cloud pruža niz bezbednosnih i mrežnih usluga za upravljanje aplikacijama, sve kroz SaaS model. Arhitektura olakšava primenu, zaštitu i upravljanje aplikacijama u cloud-native okruženjima gde god je potrebno – u data centru, multi-cloudu ili na nivou mreže ili mrežnog ruba.

Distributed Cloud servisi takođe omogućavaju WAF i API zaštitu širom okruženja (lokalni, privatni ili javni oblak) i za sve komponente aplikacije. Uz centralizovano upravljanje zasnovano na SaaS-u, zaštita uključuje kontrolu saobraćaja botova, zaštitu od iskorišćavanja poznatih ranjivosti i svih potencijalnih rizika koji se mogu pojaviti kada aplikacija postane javna. U slučaju troubleshootinga za pojedinačne komponentne aplikacije, korisnicima je na raspolaganju detaljna telemetrija i analitika.