Keamanan API membantu mengelola dan melindungi API situs web Anda dengan memanfaatkan log akses pengguna yang diambil secara sampling serta model pembelajaran mesin bawaan. Sistem ini secara otomatis memindai permintaan ke points of presence (POPs) untuk mendeteksi potensi ancaman dan menyediakan portal manajemen API guna pemantauan dan analisis.
Untuk mengaktifkan fitur keamanan API, hubungi account manager Anda.
Pendahuluan
Fitur | Ikhtisar |
Untuk mencegah ancaman dari API yang tidak dikenal atau sudah usang, seperti kebocoran data dan gangguan layanan, gunakan fitur keamanan API dari Edge Security Acceleration (ESA). Fitur ini menggunakan pembelajaran mesin untuk terus-menerus menganalisis lalu lintas layanan situs Anda. Fitur ini secara otomatis menemukan titik akhir API untuk membantu Anda mengelola API secara terpusat serta mengidentifikasi masalah seperti kebocoran data sensitif dan penyalahgunaan API. | |
ESA memantau API yang Anda kelola untuk membantu Anda memahami kinerja dan status keamanannya. Fitur ini juga memberikan saran pembatasan laju untuk melindungi API Anda dari trafik berlebihan, sehingga meningkatkan keamanan secara keseluruhan. | |
Setelah Anda mengunggah skema API (misalnya spesifikasi OpenAPI), sistem secara otomatis memetakannya ke API yang Anda kelola. Sistem kemudian memvalidasi permintaan masuk terhadap skema tersebut dan menerapkan kebijakan keamanan yang telah Anda konfigurasi pada trafik yang tidak sesuai. | |
Buat aturan validasi token API dengan mengonfigurasi kebijakan validasi JSON Web Token (JWT) dan menerapkannya pada API yang Anda kelola. ESA kemudian memvalidasi permintaan masuk terhadap token tersebut untuk mengamankan API bisnis Anda. | |
Pengaturan keamanan API memungkinkan pengelolaan terpusat atas Session Identifiers, Schema Validation Settings, dan Token Configurations. |
Dampak performa
ESA melakukan analisis keamanan API secara pasif di points of presence dengan dampak performa minimal. Pengujian menunjukkan bahwa setelah mengaktifkan fitur API discovery dan pemantauan atau fitur pemblokiran seperti validasi kepatuhan arsitektur atau validasi token, peningkatan latensi tetap berada pada level milidetik, yang tidak terasa oleh pengguna.
Kasus penggunaan
Atur aset API, temukan risiko yang tidak diketahui
Saat bisnis berkembang pesat, developer mungkin merilis operasi API yang tidak segera dilaporkan ke tim keamanan. API-API tersebut beroperasi di luar sistem kendali keamanan sehingga menjadi potensi titik masuk serangan.
Fitur yang Direkomendasikan: API Discovery
Dengan mengaktifkan fitur API discovery, ESA secara otomatis mempelajari dan menampilkan semua tujuan API yang diproksi melaluinya. Administrator keamanan dapat secara rutin meninjau daftar ini, mengelola API yang baru ditemukan, atau menandainya sebagai usang setelah dikonfirmasi dengan tim pengembang. Hal ini memastikan visibilitas penuh atas aset API dan menghilangkan titik buta keamanan.
Blokir permintaan API yang tidak sesuai di tepi jaringan
Untuk API bisnis yang menyediakan layanan kepada publik, penyerang sering mengirim banyak permintaan cacat yang tidak sesuai dengan format yang telah ditentukan untuk melakukan probing atau serangan. Hal ini tidak hanya menghabiskan sumber daya komputasi server origin yang berharga, tetapi juga dapat memicu kerentanan yang tidak diketahui.
Fitur yang Direkomendasikan: API Architecture Compliance Validation
Unggah file spesifikasi OpenAPI yang sesuai untuk API bisnis inti Anda. ESA menggunakan spesifikasi tersebut sebagai dasar untuk melakukan validasi kepatuhan struktur dan parameter setiap permintaan masuk di points of presence. Permintaan yang tidak sesuai akan diblokir atau dicatat sebelum mencapai server origin Anda. Ini secara efektif melindungi dari serangan seperti injection dan fuzz testing, sehingga menjamin stabilitas dan keamanan bisnis inti Anda.
Lindungi API untuk aplikasi mobile dan web
Dalam arsitektur antarmuka depan dan backend yang terpisah, aplikasi mobile atau aplikasi halaman tunggal biasanya berkomunikasi dengan layanan backend melalui pemanggilan API. Memastikan bahwa API tersebut hanya dipanggil oleh klien sah merupakan bagian penting dalam desain sistem keamanan.
Fitur yang Direkomendasikan: API Token Compliance Validation
Konfigurasikan aturan validasi kepatuhan token untuk API Anda. Wajibkan semua klien membawa JSON Web Token (JWT) yang valid saat membuat permintaan. ESA menyelesaikan serangkaian tugas validasi di points of presence, seperti verifikasi signature JWT dan pemeriksaan masa berlaku. Hanya permintaan sah yang lolos validasi yang diteruskan ke server origin. Ini secara efektif mencegah akses tidak sah atau serangan replay terhadap API.
Dukungan paket
Kategori | Fitur | Entrance (0 USD/bulan) | Pro (15 USD/bulan) | Premium (249 USD/bulan) | Enterprise (Hubungi tim penjualan untuk harga khusus) |
Fitur Keamanan API | Semua fitur didukung | ||||
Jumlah API yang Dikelola | 100 | ||||
Jumlah Session Identifiers | 10 | ||||
Jumlah File Skema | 5 | ||||
Jumlah Token JWT | 5 | ||||
Jumlah Aturan API | 10 |