Ana içeriğe geç

API Discovery Genel Bakış

Wallarm platformunun API Discovery modülü, gerçek API kullanımı temelinde uygulamanızın REST API envanterini oluşturur. Modül, gerçek trafik isteklerini sürekli analiz eder ve analiz sonuçlarına göre API envanterini oluşturur.

Oluşturulan API envanteri aşağıdaki unsurları içerir:

  • API uç noktaları

  • İstek yöntemleri (GET, POST ve diğerleri)

  • İstek ve yanıtların zorunlu ve opsiyonel GET, POST ve header parametreleri, bunlar dahil:

Yanıt parametrelerinin mevcudiyeti

Yanıt parametreleri yalnızca 4.10.1 veya daha yüksek sürümündeki node kullanıldığında mevcuttur.

API Discovery ile Ele Alınan Sorunlar

Gerçek ve eksiksiz bir API envanteri oluşturmak API Discovery modülünün ele aldığı ana sorundur.

API envanterini güncel tutmak zor bir iştir. Farklı API'leri kullanan birden fazla ekip bulunmakta ve API dokümantasyonu oluşturulurken farklı araç ve süreçlerin kullanılması yaygın bir durumdur. Sonuç olarak, şirketler hangi API'lere sahip olduklarını, hangi verileri açığa çıkardıklarını anlamakta ve güncel API dokümantasyonuna sahip olmakta zorlanırlar.

API Discovery modülü, gerçek trafiği veri kaynağı olarak kullandığından, isteği gerçekten işleyen tüm uç noktaları API envanterine dahil ederek güncel ve eksiksiz API dokümantasyonu elde etmeye yardımcı olur.

Wallarm tarafından keşfedilen API envanteriniz sayesinde şunları yapabilirsiniz:

  • Dış ve iç API listesi dahil olmak üzere tüm API portföyünüze tam görünürlük kazanabilirsiniz.

  • API'lere giren ve çıkan verileri görebilirsiniz.

  • Açık güvenlik açıklarına sahip uç noktaların listesini alabilirsiniz.

  • Belirli herhangi bir API uç noktası için son 7 günde gerçekleşen tehditlerin listesini alabilirsiniz.

  • Yalnızca saldırıya uğramış API'leri filtreleyip, istek sayısına göre sıralayabilirsiniz.

  • Hassas veriler tüketen ve taşıyan API'leri filtreleyebilirsiniz.

  • API envanter yapınızın ve sorunların görselleştirilmiş özetini kullanışlı bir dashboard üzerinden görebilirsiniz.

  • Hangi uç noktaların en olası saldırı hedefi olduğunu anlayabilirsiniz.

  • Gölge, yetim ve zombi API'leri bulabilirsiniz.

  • Seçilen zaman dilimi içerisinde API'de gerçekleşen değişiklikleri takip edebilirsiniz.

  • API uç noktalarını BOLA otomatik koruma durumuna göre filtreleyebilirsiniz.

  • Geliştiricilerinize, oluşturulan API envanterine bakma ve indirme konusunda erişim sağlayabilirsiniz.

API Discovery Nasıl Çalışır?

API Discovery, istek istatistiklerine dayanır ve gerçek API kullanımı temelinde güncel API özelliklerini oluşturmak için sofistike algoritmalar kullanır.

Trafik İşleme

API Discovery, analizi yerel ve Cloud ortamında gerçekleştirmek için hibrit bir yaklaşım kullanır. Bu yaklaşım, istek verilerinin ve hassas verilerin yerel olarak tutulduğu, istatistik analizleri için Cloud gücünün kullanıldığı bir öncelikli gizlilik sürecini mümkün kılar:

  1. API Discovery, meşru trafiği yerel olarak analiz eder. Wallarm, istek yapılan uç noktaları ve hangi parametrelerin gönderilip alındığını inceler.

  2. Bu verilere göre, istatistikler oluşturulur ve Cloud'a gönderilir.

  3. Wallarm Cloud, alınan istatistikleri toplar ve bunlardan bir API tanımı oluşturur.

    Gürültü tespiti

    Nadir veya tek seferlik istekler gürültü olarak belirlenir ve API envanterine dahil edilmez.

Gürültü Tespiti

API Discovery modülü, gürültü tespitini iki ana trafik parametresine dayandırır:

  • Uç nokta stabilitesi - Uç noktaya yapılan ilk isteğin anından itibaren 5 dakika içinde en az 5 istek kaydedilmelidir.

  • Parametre stabilitesi - Uç noktaya yapılan isteklerde parametrenin görülme oranı yüzde 1'den fazla olmalıdır.

API envanteri, bu limitleri aşan uç noktaları ve parametreleri gösterecektir. Tam API envanterinin oluşturulması için gereken süre, trafik çeşitliliğine ve yoğunluğuna bağlıdır.

Ayrıca, API Discovery diğer kriterlere dayanarak istekleri filtreler:

  • Yalnızca sunucunun 2xx aralığında yanıt verdiği istekler işlenir.

  • REST API tasarım prensiplerine uymayan istekler işlenmez.

    Bu, yanıtların Content-Type başlığı kontrol edilerek yapılır: Eğer başlık application/json içermiyorsa (örneğin, Content-Type: application/json;charset=utf-8), istek non-REST API olarak kabul edilir ve analiz edilmez.

    Eğer başlık mevcut değilse, API Discovery isteği analiz eder.

  • Accept gibi standart alanlar göz ardı edilir.

Hassas Veri Tespiti

API Discovery, API'leriniz tarafından tüketilen ve taşınan hassas verileri tespit edip vurgular:

  • IP ve MAC adresleri gibi teknik veriler

  • Gizli anahtarlar ve şifreler gibi giriş bilgileri

  • Banka kartı numaraları gibi finansal veriler

  • Tıbbi lisans numarası gibi medikal veriler

  • Tam isim, pasaport numarası veya SSN gibi kişisel tanımlanabilir bilgiler (PII)

API Discovery, tespit sürecini yapılandırma ve kendi hassas veri desenlerinizi ekleme imkanı sağlar (NGINX Node 5.0.3 veya Native Node 0.7.0 veya daha yüksek sürüm gerektirir).

Hassas İş Akışları

Hassas iş akışı yeteneği sayesinde API Discovery, kimlik doğrulama, hesap yönetimi, faturalandırma ve benzeri kritik işlevler gibi belirli iş akışları için hayati öneme sahip uç noktaları otomatik olarak tespit edebilir.

Otomatik tanımlamanın yanı sıra, atanmış hassas iş akışı etiketlerini manuel olarak ayarlayabilir ve tercih ettiğiniz uç noktalar için etiketleri manuel olarak belirleyebilirsiniz.

Uç noktalar hassas iş akışı etiketleriyle atandıktan sonra, tüm keşfedilen uç noktaları belirli bir iş akışına göre filtrelemek mümkün hale gelir; bu da en kritik iş yeteneklerini korumayı kolaylaştırır.

API Discovery - Filtering by sensitive business flows

Wallarm Cloud'a Yüklenen Verilerin Güvenliği

API Discovery, trafiğin çoğunu yerel olarak analiz eder. Modül, Wallarm Cloud'a yalnızca keşfedilen uç noktaları, parametre adlarını ve çeşitli istatistiksel verileri (varış zamanı, sayı vb.) gönderir. Tüm veriler güvenli bir kanal üzerinden iletilir: İstatistikler Wallarm Cloud'a yüklenmeden önce, API Discovery modülü, istek parametrelerinin değerlerini SHA-256 algoritması kullanarak hash'ler.

Cloud tarafında, hash'lenmiş veriler istatistiksel analiz için kullanılır (örneğin, aynı parametrelere sahip isteklerin sayısını ölçerken).

Diğer veriler (uç nokta değerleri, istek yöntemleri ve parametre adları) Wallarm Cloud'a yüklenmeden önce hash'lenmez, çünkü hash'ler orijinal hallerine geri döndürülemez; bu da API envanterinin oluşturulmasını imkansız hale getirirdi.

Önemli

Wallarm, parametrelerde belirtilen değerleri Cloud'a göndermez. Yalnızca uç nokta, parametre adları ve bunlara ilişkin istatistikler gönderilir.

API Discovery demo videosu

API Discovery demo videosunu izleyin:

Playground'da API Discovery'yı Deneyin

Modülü, kaydolmadan ve node'u ortamınıza dağıtmadan denemek için Wallarm Playground'da API Discovery'yı keşfedin.

Playground'da, gerçek verilerle doluymuş gibi API Discovery görünümüne erişebilir, modülün nasıl çalıştığını öğrenip deneyebilir ve salt okunur modda kullanımına dair faydalı örnekler edinebilirsiniz.

API Discovery – Sample Data

API Discovery'yı Etkinleştirme ve Yapılandırma

API Discovery'yı kullanmaya başlamak için, API Discovery Setup sayfasında açıklandığı gibi etkinleştirin ve yapılandırın.