הגנה על תעבורת API – האתגר הגדול הבא של הארגונים
ככל שארגונים מפתחים ומשיקים אפליקציות נוספות, מספר ממשקי ה-API – המאפשרים ליישומים לתקשר אוטומטית זה עם זה – עולה באופן אקספוננציאלי. בסביבה מהירה זו, של פיתוח אפליקציות, תפקידם של צוותי ה-DevOps והפיתוח הוא ליצור ולנהל שירותי יישומים במהירות, מבלי לדאוג לפגיעויות בין אפליקציות. עם העלייה הדרמטית בתעבורת API גדל מספר האיומים על הארגון ואטרקטיביות התקיפה, עד כדי כך שגרטנר חוזה שב-2022, ניצול לרעה של פגיעויות ב-API יהפוך לערוץ התקיפה הנפוץ ביותר. הדבר מטיל אתגר בולט על הארגונים.
הגידול בתעבורת ה-API נוצר מצורך בפרוטוקול בעל מבנה דינמי אך סטנדרטי, שיאפשר לארגונים לתקשר זה עם זה ביעילות ובקלות, תוך מקסום הרווחים שלהם. תעבורה זו הפכה, הלכה למעשה, למנוע הצמיחה העיקרי של ארגונים כגון אמזון, אי-ביי, Airbnb ונטפליקס, אך מאומצת גם על ידי ארגונים פיננסיים, כחלק ממודל הבנקאות הפתוחה, על מנת שיוכלו לנהל ביניהם תקשורת מאובטחת בפורמט אחיד ומוסכם. גם אפליקציות מובייל ופיתוח אפליקציות מודרניות לדפדפנים עוברים לתקשורת אפליקטיבית שבבסיסה תעבורת API.
ה-API – עיקר תעבורת האינטרנט ומנוע צמיחה אדיר
אם כן, יש לנו צמיחה אדירה בתעבורת API, עד כדי כך שהיא מהווה את עיקר תעבורת האינטרנט. כמו כן, מהווה מנוע צמיחה כלכלי של ארגונים רבים. שני פרמטרים אלה הופכים את ה-API למטרה נוחה לתקיפה וניצול חולשות אפליקטיביות. הוסיפו לכך את הקצב המהיר שבו אפליקציות אלה מושקות ותקבלו מעבר מהיר, אם לא מעקף, של אנשי אבטחת המידע המסורתיים בארגון. לפיכך, נדרשת חשיבה עמוקה יותר בהגנה על API ויישום טכנולוגיות ייעודיות שפותחו על מנת להפחית את האיומים על יישומים אלה.
ארכיטקטורה שלמה שבבסיסה הגנה על API תאכוף בראש ובראשונה הרשאה מאובטחת בין אפליקציות וצרכנים, על בסיס שיטות סטנדרטיות ופתוחות בסביבות אינטרנט, כגון OIDC ומפתחות API, אך תאבטח את הגישה ל-API מפני כלל האיומים האפליקטיביים, בהם מתקפות מניעת שירות מבוזרת (DDoS). כמו כן, היא תבטיח אכיפה של פורמט ה-API וגרסאותיו, על ידי טעינתו למערכות ההגנה האפליקטיביות כגון API GW ו-Web Application Firewall, וכן תסייע בזיהוי בוטים.
המשימה לא פשוטה, אולם כבר כיום ישנה ארכיטקטורה המאפשרת לארגונים להשיק אפליקציות מבוססות API, עם הגנה בזמן אמת ואפילו לשלב את פתרונות ההגנה כחלק מתהליך האוטומציה של הפיתוח (CI/CD). "אואזיס תציג בכנס הלקוחות שלה את פתרונות F5 Networks ו-NGINX, שמנהלים תעבורת API ודואגים לאבטחתה מקצה לקצה, כחלק מארכיטקטורה שלמה. ארכיטקטורה זו מאפשרת לצוותי ה-DevOps ולמפתחים להשיק את האפליקציות בצורה מהירה, ולצוותי אבטחת המידע ליהנות מהגנה ללא פשרות", אמר אור יעקב, מנהל גוף ההנדסה בדרום אירופה ב-F5.
"אואזיס משמשת מזה כעשור כשותף בכיר של F5, הבולטת בעולם אפליקציות השירותים ומובילה את לפיד החדשנות בפרויקטים מורכבים בעולמות המולטי קלאוד, ה-On-Premise וההיברידיות. שיתוף הפעולה המיוחד בין החברות – לרבות המקצועיות והניסיון של אואזיס בעולמות הטלקו, ההיי-טק ועוד – מייצר מענה ו-'שקט תעשייתי', בעיקר בעידן הדיגיטלי בו אנו חיים, שמקשה על דרך הטיפול וההגנה על האפליקציות", ציין מוטי בן שושן, מנהל פעילות השותפים בישראל, יוון וקפריסין ב-F5.