通过利用数据科学并将机器学习应用于从 API 流量派生的数据,可以获得对 API 流量的新见解。要获取此类数据,您需要接入网络或从可查看 API 流量的源(例如网关或负载均衡器)间接获取元数据。
如今,许多组织抱怨缺乏对其所有 API 流量的可见性。 API 发布到不同的环境,通常使用不同技术的不同堆栈。一些 API 完全绕过 API 治理系统和实践——流氓 API。在其他情况下,API 会不断发展并留下一些被遗忘的旧版本,这些版本仍在运行并脱离了组织的关注。这些情况,单独或组合起来,都会导致可见性脱节且存在间隙。
Ping Identity 的 API 安全专用 AI 解决方案 PingIntelligence for API 的目标是显示您的所有 API 流量,包括来自所有l 您的环境,我们一直致力于通过与最有可能处理 API 流量的技术集成来最大限度地扩大这一范围。
NGINX 作为 API 元数据的收集点
作为当今使用的两种主要 Web 服务器技术之一,NGINX 掌握着大量的 Web 流量。最好的 Web 技术专家在各个项目中重复使用相同的值得信赖的核心工具,NGINX 因快速、强大和稳定而享有盛誉。因此,当 Web API 成为一种流行的技术模式时,NGINX 成为常用工具之一,许多核心 API 管理需求都在其上实现,例如路由、速率限制、身份验证等,这并不奇怪。 NGINX 不仅看到大量 Web 流量,还专门看到大量 Web API 流量。
扩展 NGINX 的机制是其持久成功的重要贡献者。有一套丰富的开源和为 NGINX 构建的第三方模块。整个系统和平台都是围绕NGINX作为核心技术构建的。在将 API 流量元数据馈送到 API 的 PingIntelligence 中时,我们将 NGINX 视为数据收集的战略点。
将 NGINX 与 API 的 PingIntelligence 集成
Ping Identity 现已发布针对 API 的 PingIntelligence 的 NGINX 集成。 NGINX 和 API 的 PingIntelligence 之间的所有交互都通过我们的 API 安全执行器 (ASE) 组件,该组件充当 NGINX 的边带,而不是将自身插入到 API 路径中。 ASE 从 NGINX 获取 API 流量元数据,并向 API 流量节点反馈是否阻止 API 客户端。
NGINX 集成由三个独立的模块组成:
- ngx_ase_integration_module.so – 为边带 ASE 提供通信通道,并由其他两个模块使用。
- ngx_http_ase_integration_request_module.so– 在 NGINX 处理的 NGINX_HTTP_ACCESS_PHASE 中安装事件处理程序;它收集有关传入 API 调用的相关元数据并将其发送到 ASE。 ASE 返回 API 客户端的 danylist 状态。 API 元数据的实际分析是带外的。
- ngx_http_ase_integration_response_module.so – 安装响应过滤器,将 API 响应元数据与请求关联起来,再次用于带外分析。
如果您订阅了 PingIntelligence for API,则可以从我们的网站下载这些模块。我们还提供 API 的 PingIntelligence 免费试用。下载包含一个脚本,可将 ASE 配置添加到 NGINX 配置中,并且可以在静态或动态模式下构建和启动模块。
API 的 PingIntelligence 提供详细分析和异常检测
就其本身而言,API 本身的 PingIntelligence 几乎不需要任何 c配置;一旦 NGINX 和 ASE 之间的连接建立,API 的 PingIntelligence 会自动从 NGINX 服务器接收 API 流量元数据。您的 API 会被发现,并且您的 API 流量的历史记录会被保留以供以后分析。仪表板和报告可深入了解您的 API 以及用户如何调用它们,以及用于访问 API 的每个令牌和密钥的详细取证。
AI Engine 组件启动机器学习过程,对每个 API 的 API 和用户行为进行建模。这种建模允许检测异常,并且在对其进行配置时,API 的 PingIntelligence 可以通过 ASE 指示 NGINX 阻止令牌或 IP 地址,因为它被预测与 API 攻击或滥用相关。
结论
无论您使用 NGINX 作为 Web 服务器、API 网关还是负载均衡器,将 API 的 PingIntelligence 添加到现有和新的 NGINX 部署中都可以让您解锁高级 API洞察和攻击防护。
Ping Identity 是 2019 年 NGINX Conf 的金牌赞助商,并举办了一场关于 NGINX 人工智能驱动的 API 网络安全的分组会议。我们很高兴与希望实现应用程序交付基础设施现代化的开发人员、运营商和架构师会面,并期待讨论您的用例。
请访问我们的网站,了解有关 API 的 PingIntelligence 和 NGINX 集成的更多信息。
发表回复