Ana içeriğe geç

API Specification Enforcement Genel Bakış

API Specification Enforcement, yüklediğiniz spesifikasyonlara dayalı olarak API'leriniz için güvenlik politikalarını uygulamak üzere tasarlanmıştır. Birincil işlevi, spesifikasyonunuzdaki uç nokta tanımları ile REST API'lerinize yapılan gerçek istekler arasındaki uyumsuzlukları tespit etmektir. Böyle tutarsızlıklar belirlendiğinde, sistem bunları çözmek için önceden tanımlanmış eylemleri gerçekleştirebilir.

API Specification Enforcement - diagram

API Specification Enforcement tarafından ele alınan sorunlar

Kuruluşunuz, API aracılığıyla açığa çıkan birçok uygulamayı ve bunlara erişmeye çalışan otomasyon araçları da dahil olmak üzere çok sayıda dış IP'yi kullanabilir. Belirli kaynaklar, hedefler veya davranışlar için özel kısıtlamalar oluşturmak kaynak tüketen bir işlemdir.

API Specification Enforcement, pozitif güvenlik modeli kullanılarak güvenlik çabasını azaltmanıza olanak tanır - spesifikasyon aracılığıyla neyin izinli olduğunu tanımlar, kısa politika seti ile de geri kalanla nasıl başa çıkılacağını belirler.

API envanterinizi API spesifikasyonu ile kapsamlı bir şekilde tanımladığınız için:

  • Bu spesifikasyonu Wallarm'a yükleyebilirsiniz.

  • Birkaç tıklamayla, spesifikasyonda yer almayan veya onlarla çelişen API öğelerine yönelik istekler için politikalar belirleyebilirsiniz.

Ve böylece:

  • Özel kısıtlayıcı kurallar oluşturma ihtiyacından kaçınabilirsiniz.

  • Bu kuralların kaçınılmaz gerekli güncellemelerinden kaçınabilirsiniz.

  • Doğrudan kısıtlayıcı kural yapılandırılmamış saldırıları asla kaçırmazsınız.

Nasıl çalışır

İstekler, farklı noktalardan spesifikasyonunuza aykırı olabilir:

  • Requesting an undefined endpoint - a request targets the endpoint not presented in your specification

  • Requesting endpoint with undefined parameter - a request contains the parameter not presented for this endpoint in your specification

  • Requesting endpoint without required parameter - a request does not contain the parameter or its value that are marked as required in your specification

  • Requesting endpoint with invalid parameter value - a request parameter's value in not in correspondence with its type/format defined by your specification

  • Requesting endpoint without authentication method - a request does not contain the information about the authentication method

  • Requesting endpoint with invalid JSON - a request contains an invalid JSON

The system can perform the following actions in case of found inconsistency:

  • Block - block a request and put in the Attacks section as blocked

    Filtration mode

    The Wallarm node will block requests only when the blocking filtration mode is enabled for target endpoint - otherwise, Monitor action will be performed.

  • Monitor - mark a request as incorrect, but do not block, put it in the Attacks section as monitored

  • Not tracked - do nothing

Note that several specifications can be used for setting policies. In case when one request falls on two different specifications (the same policy and different actions in different specifications), the following will happen:

  • Block and Block - the request will be blocked and two events will be added to the Attacks section with status Blocked pointing at the reason of blocking and at the fact that the request violated two different specifications.

  • Monitor and Block - the request will be blocked and one event will be added to the Attacks section with status Blocked explaining the reason of blocking.

  • Monitor and Monitor - the request will not be blocked and two events will be added to the Attacks section with status Monitoring pointing at the fact that specific policy was violated.

API Specification Enforcement kullanıldığında, CPU kullanımı normalde yaklaşık yüzde 20 artar.

Kaynak tüketimini sınırlamak için, API Specification Enforcement zaman (50 ms) ve istek boyutu (1024 KB) ile sınırlıdır – bu limitler aşılırsa, isteğin işlenmesi durur ve Spesifikasyon işleme aşımı olayı Saldırılar bölümünde, bu limitlerden birinin aşıldığını belirten bir olay oluşturulur.

API Specification Enforcement ve diğer koruma önlemleri

API Specification Enforcement isteğin işlenmesini durdurduğunda, bunun Wallarm'un diğer koruma prosedürleri tarafından işlenmediği anlamına gelmediğini unutmayın. Dolayısıyla, eğer bu bir saldırı ise, Wallarm yapılandırmasına uygun olarak kayıt altına alınacak veya engellenecektir.

Limitleri veya Wallarm davranışını (aşım durumlarının izlenmesinden bu tür isteklerin engellenmesine kadar) değiştirmek için Wallarm Support ile iletişime geçin.

API Specification Enforcement'ın düzenlemesini, Wallarm düğümü tarafından gerçekleştirilen olağan saldırı tespiti işleminin yerine koymadığını, eklediğini unutmayın; bu sayede trafiğiniz hem saldırı işaretlerinin olmaması hem de spesifikasyonunuza uygunluk açısından kontrol edilir.

Kurulum

API'lerinizi API Specification Enforcement ile korumaya başlamak için, spesifikasyonunuzu yükleyin ve burada tarif edildiği şekilde politikaları belirleyin.