![](data:image/svg+xml;charset=utf-8,<svg height="384" width="640" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
近几年来,API 已成为现代应用经济的准标准构建方法。这些软件接口已成为支持系统、应用及设备进行通信和共享各种数据与功能的主要方式。从本质上讲,API 已成为现代信息的丝绸之路,支持客户将来自不同厂商的最佳工具整合到自己的解决方案中。
根据 MuleSoft 年度《互联基准测试报告》的调查,80% 的受访企业使用公有和/或私有 API,获得的优势包括提高生产力(54%) 、推动创新(47%)和节约成本(34%)等。调查显示,API 还为其发布公司带来了可观的收入 — 平均占总收入的 31%。
然而,并非一切都很美好。F5 Labs 的研究发现,2020 年上半年发生的 API 安全事件可能会超过前两年的总和。DevOps 团队面临的一大挑战是,API 安全防护存在诸多薄弱环节,从 API 端点前面根本没有身份验证到失效的身份验证和授权,再到基本配置错误。
目前的问题是:如何保护所有 API 活动的安全?本文将说明以 NGINX App Protect 为核心的“安全防护即代码”方法为何是 API 防护的关键,并介绍该方法如何与其他安全厂商的解决方案一起无缝融入 CI/CD 流水线中。
API 为员工和合作伙伴服务
根据 ProgrammableWeb 的跟踪数据,目前有超过 20,000 个私有 API、合作伙伴 API 和公有 API 正在使用中,为我们日常依赖的应用提供支持。API 及其运行或连接的基于容器的微服务能够向广泛的用户(包括您的员工及所有战略和商业合作伙伴)开放软件功能和数据。(当然,这种方法对 DevOps 团队也很有吸引力,因为他们可根据自己的具体需求选择最佳厂商。)
例如,许多企业利用私有 API 和合作伙伴 API 来支持自助式 IT;确保 IT 资产的可发现性和可复用性,支持更多企业成员做更多的事,而无需处处依赖 DevOps。如果实施得当,自助式 IT 可帮助提高敏捷性,加快上市速度,打造以客户为中心的多厂商解决方案,提升效率,推动创新并提高利润率。
自助式 IT 对开发和生产也大有裨益:容器化软件和 API 支持 DevOps 团队与广泛的合作伙伴进行交互。这些合作伙伴包括身份和访问管理(IAM)合作伙伴,例如 Okta、AuthO 和 Microsoft,以及生命周期管理合作伙伴,例如 MuleSoft、Akana 和 Kong。
安全防护即代码,策略即保护
在当今快节奏、动态多变的 CI/CD 环境中,开发人员和 DevOps 团队需要一种全面的方法来保护 Web 应用和 API,并利用应用安全工具帮助他们快速、安全地实施解决方案和推出软件。团队需要确保代码安全,同时与其选择的访问管理和生命周期管理合作伙伴保持紧密集成。
随着 DevOps 在过去几年中转变为 DevSecOps,业内一直在推动实施安全防护本身即代码。这从另一个角度说明,企业开始认识到需要将安全防护融入新软件的方方面面,而不是在完成所有编码工作后再去补充。相关实践包括:
- 通过将安全防护直接嵌入 CI/CD 流水线,尽可能实现安全防护自动化
- 将安全防护构建为护栏而非大门(即提供指导和工具,而非仅仅允许或拒绝访问)
- 与一系列合作伙伴合作,以确保安全防护解决方案的一致性、集中性,并可通过自助服务提供;适用于任何环境,包括分布式、容器化环境
面向现代应用基础设施的高级 API 安全防护
F5 是安全防护即代码方法的主要支持者,该方法旨在实现应用安全防护的自适应性、可扩展性和可靠性,NGINX App Protect 在实现这一目标方面发挥了重要作用。NGINX App Protect 将 API 安全防护与市场领先的 Advanced WAF(API 安全 – 新一代 WAF)和 Bot 防护的基本功能相结合,可帮助 DevOps:
- 将无中断安全控制(由安全团队授权)集成到自动化流程和 CI/CD 流程中
- 在容器和微服务等分布式环境中部署和管理应用安全控制
- 实施经济高效的安全控制,同时不影响发布速度或应用性能
借助 NGINX App Protect,您可将应用安全防护能力作为独立于底层基础设施的轻量级软件包来部署。这样一来,软件开发人员可以利用声明式策略(“安全防护即代码”)来对进出 API 网关或其他 Ingress controller(Ingress 控制器)的所有流量提供保护。在这种模式下,即使 API 本身默认并不安全,NGINX App Protect 安全防护也可应用于多个点,无论是在入口、Kubernetes pod 内部还是横跨多个 service。
通过与客户认可的其他行业领导者密切合作,并广泛支持全球 DevOps 团队已在使用的厂商和产品,F5 和 NGINX 致力于为整个应用生态系统提供一流的解决方案。
结语
随着 API 成为信息共享的新通道并改变您与用户的连接方式,NGINX App Protect 可有效保护您的应用和数据免受各种潜在威胁。NGINX App Protect 专为您的应用交付方式而设计,能够与您的合作伙伴生态系统紧密集成。这款业界领先的解决方案可在 DevOps 环境中无缝运行,让无中断安全控制贯穿整个 DevOps 自动化和 CI/CD 流程,确保应用安全防护从开发伊始就内置其中,而不是最后再打补丁。
想要亲身体验 NGINX App Protect 吗?立即下载 30 天免费试用版,或联系我们讨论您的用例。