什麼是 Web 應用程式和 API 保護?
Web 應用程式與 API 保護 (WAAP) 是雲端 Web 應用程式防火牆服務的演進,旨在保護面向網際網路的 Web 應用程式和 Web API(應用程式介面)。隨著應用程式編程的演進,開發人員正在為組織建立現代化的網路應用程式和介面。雲端原生架構 是現代應用程式設計的未來。由於 Web 應用程式和 API 通訊協定可存取大量敏感資料,因此成為駭客的首要攻擊目標。傳統的安全解決方案已無法為這些應用程式或通訊協定提供足夠的保護,因此 WAAP 成為必然的選擇。
網路應用程式在暴露於網際網路的網路伺服器上執行,因此使用者可以透過網路瀏覽器與軟體介面互動。它們包含整個使用者體驗,以及驅動該體驗的內容。另一方面, API 是 支援前端 的後端服務或通訊協定,具有資料儲存、分析以及與外部獨立服務整合等功能。
雲端運算平台讓這一切成為可能,開發人員可使用 HTML、JavaScript、CSS SQL、JSON 等軟體程式語言寫入程式碼到雲端,建立功能強大的現代網路應用程式。新微服務和功能的激增也產生了新的安全威脅和弱點,必須加以處理。
Web 應用程式與 API 安全威脅
隨著現代網路應用程式的演進,惡意使用者所使用的技術也在演進。當開發人員建立新的功能、特性和服務時,攻擊面也會隨之增加。需要手動調整和維護的傳統 Web 應用程式防火牆 (WAF) 無法跟上不斷的變化。開發人員、DevOps 和應用程式安全性團隊需求一個能針對他們的 Web 應用程式進行大規模擴充,並提供全面安全性的解決方案。
Web 應用程式和 API 安全性提供 API 管理功能,讓組織能夠發現和保護 Web API、強制執行其使用政策,以及控制存取。此外,Web 應用程式和 API 安全性可提供下列保護:
- 跨網站指令碼編寫 (XSS):這是指惡意程式碼被注入並執行在原本良性的 Web 應用程式中。
- 跨站請求偽造 (XSRF):這是指外部來源在未經認證使用者同意的情況下,透過他們執行指令和執行某些動作。
- SQL 插入、作業系統指令注入:這些都是常見的攻擊媒介,使用惡意的 SQL 程式碼進行後端資料庫操作,以存取原本不打算顯示的資訊。
- Bad Bots:這些軟體應用程式透過網際網路以惡意的方式執行自動化任務,最嚴重的機器人會進行犯罪活動,例如詐欺和徹底的盜竊。
- 拒絕服務攻擊 (DoS):這種攻擊會以大量虛假流量氾濫網路應用程式或 API,試圖阻擋它們。
The 開放式 Web 應用程式安全專案 (OWASP) 提供一份清單,列出在 Web 應用程式中發現的十大最重要安全問題。此清單包括每個弱點的具體細節,例如如何辨識應用程式是否可被攻擊,以及範例情境和預防提示。
Web 應用程式與 API 保護 vs. Web 應用程式防火牆
Web 應用程式與 API 保護 (WAAP) 與 Web 應用程式防火牆不同。WAAP 代表 WAF 的演進。
A Web 應用程式防火牆 (WAF) 是 Web 應用程式和 API 保護的元件。WAF 可提供過濾器,識別攻擊模式並防止存取目標應用程式或 API,從而補充 Web 應用程式和 API 保護層。決定 WAF 過濾功能的規則稱為政策。現代的 WAF 可根據應用程式的執行環境調整其行為,包括雲端原生動態集群、無伺服器功能、虛擬機器、混合環境等。
進一步瞭解 Web 應用程式安全性和 API 保護
Web 應用程式和 API 安全性是開發人員、DevOps 和安全性團隊持續關注的問題。應用程式和 Web API 必須受到監控,因為任何依賴、整合或通訊協定都可能受到惡意攻擊 - 您應該假設它們會受到攻擊。請記住,最弱的一環才是最強的一環。
Prisma Cloud 的 Web 應用程式與 API 安全性 是業界唯一的整合式平台解決方案,可針對任何雲端原生架構的 Web 應用程式與 API 提供全面的偵測與防護。
