Ana içeriğe geç

API Specification Enforcement Genel Bakış

API Specification Enforcement, yüklediğiniz spesifikasyonlara dayanarak API’lerinize güvenlik politikaları uygulamak üzere tasarlanmıştır. Birincil işlevi, spesifikasyonunuzdaki uç nokta açıklamaları ile REST API’lerinize yapılan gerçek istekler arasındaki tutarsızlıkları tespit etmektir. Bu tür tutarsızlıklar belirlendiğinde, sistem bunları ele almak için önceden tanımlanmış eylemler gerçekleştirebilir.

API Specification Enforcement - diyagram

API Specification Enforcement tarafından ele alınan sorunlar

Kuruluşunuz API aracılığıyla dışa açık bir dizi uygulama ve bunlara erişmeye çalışan, otomasyon araçları da dahil çok sayıda harici IP kullanıyor olabilir. Bazı kaynaklara, hedeflere veya davranışlara özel olarak bağlı kısıtlamalar oluşturmak kaynak tüketen bir iştir.

API Specification Enforcement, pozitif güvenlik modelinden yararlanarak güvenlik çabasını azaltmayı sağlar - spesifikasyon aracılığıyla neyin izinli olduğunu tanımlar, kısa bir ilke setiyle geri kalan her şeyin nasıl ele alınacağını belirler.

API envanteriniz API spesifikasyonu ile eksiksiz şekilde açıklanmış olduğundan, şunları yapabilirsiniz:

  • Bu spesifikasyonu Wallarm’a yükleyin.

  • Birkaç tıklamayla, spesifikasyonda yer almayan veya ona aykırı olan API öğelerine yönelik isteklere ilişkin ilkeleri belirleyin.

Ve böylece:

  • Belirli kısıtlayıcı kurallar oluşturma gereğini ortadan kaldırın.

  • Bu kuralların kaçınılmaz gerekli güncellemelerinden kaçının.

  • Doğrudan kısıtlayıcı bir kuralın yapılandırılmadığı saldırıları asla kaçırmayın.

Nasıl çalışır

İstekler spesifikasyonunuzu farklı açılardan ihlal edebilir:

  • Requesting an undefined endpoint - a request targets the endpoint not presented in your specification

  • Requesting endpoint with undefined parameter - a request contains the parameter not presented for this endpoint in your specification

  • Requesting endpoint without required parameter - a request does not contain the parameter or its value that are marked as required in your specification

  • Requesting endpoint with invalid parameter value - a request parameter's value in not in correspondence with its type/format defined by your specification

  • Requesting endpoint without authentication method - a request does not contain the information about the authentication method

  • Requesting endpoint with invalid JSON - a request contains an invalid JSON

The system can perform the following actions in case of found inconsistency:

  • Block - block a request and put in the Attacks section as blocked

    Filtration mode

    The Wallarm node will block requests only when the blocking filtration mode is enabled for target endpoint - otherwise, Monitor action will be performed.

  • Monitor - mark a request as incorrect, but do not block, put it in the Attacks section as monitored

  • Not tracked - do nothing

Note that several specifications can be used for setting policies. In case when one request falls on two different specifications (the same policy and different actions in different specifications), the following will happen:

  • Block and Block - the request will be blocked and two events will be added to the Attacks section with status Blocked pointing at the reason of blocking and at the fact that the request violated two different specifications.

  • Monitor and Block - the request will be blocked and one event will be added to the Attacks section with status Blocked explaining the reason of blocking.

  • Monitor and Monitor - the request will not be blocked and two events will be added to the Attacks section with status Monitoring pointing at the fact that specific policy was violated.

API Specification Enforcement kullanıldığında, CPU tüketimi normalde yaklaşık %20 artar.

Kaynak tüketimini sınırlamak için, API Specification Enforcement zaman (50 ms) ve istek boyutu (1024 KB) ile sınırlara sahiptir - bu sınırlar aşıldığında, isteğin işlenmesini durdurur ve bu sınırlardan birinin aşıldığını belirten, Specification processing overlimit olayını Attacks bölümünde oluşturur.

API Specification Enforcement ve diğer koruma önlemleri

API Specification Enforcement’ın isteğin işlenmesini durdurmasının, isteğin diğer Wallarm koruma prosedürleri tarafından işlenmediği anlamına gelmediğini unutmayın. Dolayısıyla bir saldırıysa, Wallarm yapılandırmasına uygun olarak kaydedilir veya engellenir.

Sınırları veya Wallarm davranışını (aşım durumlarının izlenmesinden bu tür isteklerin engellenmesine) değiştirmek için Wallarm Support ile iletişime geçin.

API Specification Enforcement’ın, Wallarm node tarafından gerçekleştirilen olağan saldırı tespitine kendi düzenlemesini eklediğini ve onun yerine geçmediğini unutmayın; böylece trafiğiniz hem saldırı belirtilerinin yokluğu hem de spesifikasyonunuza uygunluk açısından denetlenecektir.

Kurulum

API’lerinizi API Specification Enforcement ile korumaya başlamak için, spesifikasyonunuzu yükleyin ve burada açıklandığı şekilde ilkeleri ayarlayın.