Untuk mencegah ancaman dari API yang tidak dikenal atau sudah tidak digunakan, seperti kebocoran data dan gangguan layanan, gunakan fitur keamanan API dari Edge Security Acceleration (ESA). Fitur ini memanfaatkan pembelajaran mesin untuk terus-menerus menganalisis lalu lintas layanan situs Anda, secara otomatis menemukan titik akhir API, membantu Anda mengelola API secara terpusat, serta mengidentifikasi masalah seperti kebocoran data sensitif dan penyalahgunaan API.
Langkah 1: Konfigurasikan pengidentifikasi session
Anda harus mengonfigurasi pengidentifikasi session untuk mengaktifkan analisis perilaku API tingkat pengguna dan deteksi anomali. ESA menggunakan pengidentifikasi ini untuk mengenali setiap pengunjung, yang menjadi dasar deteksi dan perlindungan akurat terhadap serangan yang ditargetkan pada pengguna tertentu. Konfigurasi pengidentifikasi session wajib dilakukan sebelum menggunakan fitur keamanan API.
Di Konsol ESA, pilih Websites . Pada kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih .
Pada halaman API Security, klik tab Settings. Di bagian Session Identifier, klik Add.
Pilih tipe pengidentifikasi: Header, Cookie, atau JWT claims (memerlukan claim yang sudah ada atau baru), lalu masukkan nama yang sesuai.
Langkah 2: Temukan dan evaluasi API
Setelah mengonfigurasi pengidentifikasi session, ESA secara otomatis mulai menemukan API. Anda dapat mengevaluasi API tersebut dan menandainya sebagai Managed atau Ignored, sehingga API bisnis inti Anda sepenuhnya dilindungi, sedangkan API yang tidak memerlukan perlindungan dikecualikan.
Temukan API
ESA menggunakan pembelajaran mesin dan pengidentifikasi session untuk menganalisis lalu lintas situs Anda serta secara otomatis menemukan API-nya.
Untuk memastikan hasil penemuan valid dan mutakhir, fitur ini hanya mencakup API yang menerima permintaan valid dalam 30 hari terakhir.
Di Konsol ESA, pilih Websites . Pada kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih .
Pada halaman API Security, pilih tab API Discovery. ESA menampilkan jumlah total Discovered APIs beserta detailnya.
Evaluasi API
Untuk membantu Anda mengkategorikan API dengan cepat, ESA memberikan salah satu status berikut kepada API yang ditemukan:
Status | Tingkat perlindungan keamanan | Aksi yang disarankan |
To Be Reviewed | Tidak ada perlindungan aktif. Panggilan API dalam status ini tidak memicu kebijakan mitigasi keamanan API apa pun. | Status berisiko tinggi. Evaluasi dan tandai API sebagai Managed atau Ignored sesegera mungkin. |
Managed | Ignore. ESA tidak akan lagi melakukan statistik, analisis, atau perlindungan untuk API ini. | Disarankan. Semua API bisnis yang menghadap publik sebaiknya berada dalam status ini. |
Ignored | Fully protected. Dilindungi oleh deteksi dan perlindungan komprehensif dari API Security, termasuk analisis perilaku abnormal dan pencegahan serangan. | Untuk API yang digunakan dalam pengujian internal, sudah tidak digunakan, atau tidak memerlukan manajemen keamanan. |
Evaluasi API yang ditemukan sebagai berikut:
Di Konsol ESA, pilih Websites . Pada kolom Website, klik situs target.
Di panel navigasi sebelah kiri, pilih .
Pada halaman API Security, pilih tab API Discovery. Di bagian To Be Reviewed, klik tombol Filter untuk menampilkan semua API yang menunggu evaluasi.
Dalam daftar API yang menunggu evaluasi, tandai API sebagai Managed atau Ignored. Anda juga dapat memilih beberapa API sekaligus dan memilih aksi dari opsi di bawah daftar.
