透過API介接來進行應用交付的方式已日漸普及,IT人員熟知的場景即為訂閱公有雲服務的虛擬主機等資源,皆是透過API來溝通以及遞送資料,建立整合應用模式。須留意的是,若未考量API應用的安全性,有可能被惡意人士利用來發動攻擊。
F5亞太區安全解決方案架構師金飛觀察,今年(2018)年初在中國已經開始出現利用API來發動DDoS攻擊的案例。該手法較反射、放大式攻擊不同,主要是透過遠端控制來執行,例如以手機App控制汽車感知器的場合,遭利用工具執行中間人攻擊,駭客從連線行為中擷取封包Payload以取得API金鑰,其中包含車輛識別碼(Vehicle Identification Number,VIN)參數,編號最後五碼為隨機產生,做為汽車識別序號(VIS),因可任意變更,故能經過竄改後讓其他手機App連線存取伺服器,進而命令執行開鎖等動作。
「現代國際間高階的車種設計皆納入物聯網應用,API扮演Request/Response的角色,卻幾乎尚未於此環節制定嚴謹的安全措施,因此得以被輕易地竄改以假冒身份執行命令,進而發動高頻率的連線存取請求,產生有如DDoS伺服器的效果。」金飛說。
地端與雲端控管策略一致性
 |
| ▲F5亞太區安全解決方案架構師金飛強調,運用虛擬化架構的雲端平台,Workload為分散式執行,並非集中在單一運算單元的架構,即可確保運作效能與穩定性。 |
欲建立API安全控管措施之前,首先要先具備應用層的可視化能力,也就是得以解析封包內容,並且識別Web Service屬於RESTful API或SOAP規範。金飛說明,過去有段時間,攻擊手法大多利用HTTP發動,自從手機App普及之後,絕大多數手機App都透過WebSocket協議。WebSocket剛開始出現時,網頁應用防火牆(WAF)等防禦機制多數無法支援,自然難以識別攻擊活動。
他舉例,SQL Injection若是透過HTTP協議發動,WAF可辨識加以攔阻。同樣的手法,若透過手機App發動,就可能會被繞過,因此防禦架構必須先有能力識別WebSocket協議,並予以拆解內容,才得以發現SQL Injection手法。API安全也是類似的概念,必須廣泛地支援SOAP、AJAX、JSON、RESTful等應用服務常見的模式,如此一來,才有能力辨識並加以控管。
F5所設計的API安全功能,是建立在日前發布的新產品Advanced WAF平台之上,同時提供Cloud Edition虛擬化版本,協助企業為混合雲或多雲的應用環境,建立一致性的控管措施。
「Cloud Edition之所以設計為虛擬化版,而非容器化,主要是因為安全機制實際上無法達到容器技術的細膩程度。不論是微服務、容器技術、Service Mesh,皆是應用系統拆分成為多種不同獨立運行功能,問題是安全機制第一要件必須掌握全貌,設計邏輯本就是南轅北轍,因此API安全基本上不大會運用容器技術實作。」金飛說。
WAF扮演API閘道器協助控管
WAF基於支援多種通訊協議,可扮演API閘道器的角色。金飛認為,實際上現代的WAF已經愈來愈接近於合規性產品,因為WAF只能抵擋無差別攻擊,這類型攻擊活動通常不是人發動,而是殭屍電腦自動產生,最大的問題是會佔用頻寬,如果把這種防禦機制建置在WAF平台之上,可以直接過濾讓頻寬恢復正常,不致造成過大傷害。真正嚴重的攻擊事件,通常是針對特定標的營運場景所設計,具有高度客製的特性,最好的防禦方式,就是把無差別防禦能力轉化為應用場景,讓抵擋措施變得更加細緻。
他進一步說明,所謂的細緻,意思是以單一網頁為單位,例如帳號登入、線上交易等服務的頁面,可以在重要網頁前方建置Cloud Edition,選用25Mb或200Mb的頻寬吞吐量來執行過濾。假設遭受的攻擊量是1Mb,至少要用5Mb來防護,當攻擊手法演進,變得更接近人的行為,須要透過更嚴謹的策略來偵測,可能要瞬間擴展到每秒10Mb以上,硬體設備往往難以達成,必須得仰賴Cloud Edition虛擬化版本來實現。整合搭配Advanced WAF平台上新增防範殭屍網路的帳號密碼填充(Credential Stuffing,又稱「撞庫」)攻擊,以及API安全、Data Safe等機制,可全面阻擋針對性攻擊威脅。
ADC轉型邁向純軟體供應商
針對雲端應用場景,F5設計以授權資源池的概念來提供。授權數量與防禦架構可同時發生,意思是若需要10個授權數時,可瞬間啟動資源來因應,用完之後再予以回收。Cloud Edition較大差異在於虛擬化版本得以無上限地擴充,可超越F5專屬硬體系統限制,具備更高靈活性。
「F5下一個版本Blue,是完全按照流量收費。事實上,F5未來會徹底轉型為純軟體方案,現在的專案計畫是Purple,就是既有硬體架構,提升到全面支援可程式化。下一個專案Blue,則不再有硬體,全數都是軟體方式提供,而且銷售方式並非按照授權數量計價,改以初期採用無須付費,產生流量後才開始計價,如此轉變才可符合企業普遍存在的多雲環境。」金飛說。
ADC廠商轉型邁向雲端可說是大勢所趨。金飛不諱言,就中國市場來看,地端的BIG-IP原本有2000、5000、7000等機種,過去採用2000系列的客戶幾乎都改選用雲端服務,原因是大型IT規模的組織通常擁有充足開發能量,運用OpenStack建置私有雲後全數改用開放原始陣營的專案,現階段大多是混合雲架構的企業還有採用5000與7000系列。F5勢必得跟進需求端的腳步積極轉型,以建構在公有雲平台環境。
「但是千萬不要以為虛擬化版本的效能較差。」金飛強調,虛擬化版本是架構在穩定的平台之上,實體資源池的設計可避免單點故障造成中斷,效能與穩定性已經無庸置疑,當然,前提是配置的實體資源足以因應虛擬化架構,即可確保效能與穩定性。
應用服務建置在公有雲平台,選用Cloud Edition設計的小型版本較為合適。例如在訂閱AWS服務時,首先得先評估資源租用數量,若啟用的是過去F5提供的虛擬化版本,資源要求較多,費用自然也隨之提高,不見得符合經濟效益,Cloud Edition版本即可解決此類問題。或許企業也會同時評估公有雲服務供應商內建提供的防護機制,但金飛強調,實際上可發揮效益才是關鍵,畢竟資安領域不僅光靠技術,更要具備足夠的實戰經驗,才得以抵抗各式各樣攻擊型態。公有雲服務供應商當然亦可提供資安服務,問題是欠缺足夠的領域知識,這正是既有資安業者最大優勢之處。