La diferencia entre API Gateway y WAAP y por qué necesita ambos
Introducción a Akamai API Gateway y Akamai App & API Protector
En Akamai, evolucionamos continuamente para abordar los desafíos de protección de API y aplicaciones web (WAAP) dinámicas que prevalecen en el panorama digital actual. Como partner comprometido con la ciberseguridad, realizamos un estudio exhaustivo sobre las últimas amenazas a la seguridad de las interfaces de programación de aplicaciones (API) para poder crear soluciones sólidas que protejan mejor a nuestros apreciados clientes.
Hoy, destacamos las capacidades clave de dos soluciones de Akamai que pueden combinarse para reforzar la arquitectura de seguridad de las organizaciones empresariales: Akamai API Gateway, nuestra solución de control de tráfico de API, y Akamai App & API Protector, nuestra solución WAAP en la nube.
Comprendiendo Akamai API Gateway
API Gateway optimiza la gestión y la seguridad de las API de una red organizativa, sirviendo como punto de unión crítico donde las solicitudes de API entrantes se autentican, autorizan y enrutan. Esta puerta de enlace actúa como primera línea de defensa, analizando las solicitudes de API antes de que puedan interactuar con los sistemas back-end, inspeccionando las API para garantizar que sean accesibles, eficientes y seguras mediante la autenticación y autorización del tráfico.
Explorando Akamai App & API Protector
Nuestro App & API Protector evoluciona desde el tradicional firewall de aplicaciones web (WAF) y ofrece una protección completa adaptada tanto a las aplicaciones web como a las API. Esta solución encarna la nueva generación de tecnologías WAAP, proporcionando un enfoque unificado para proteger los activos de las amenazas de seguridad más avanzadas mediante la automatización y la inteligencia a escala. Además, aprovecha la seguridad adaptable basada en el aprendizaje continuo del tráfico y las amenazas globales, lo que garantiza unas defensas actualizadas frente a los desafíos de ciberseguridad en constante evolución.
Esta solución integral de WAAP, impulsada por una tecnología y una metodología sólidas y en constante actualización, puede desarrollar las estrategias de seguridad para las organizaciones empresariales, al tiempo que va más allá de las capacidades de los WAF tradicionales.
Aunque los términos “WAF” y “solución WAAP en la nube” a menudo se utilizan indistintamente cuando se habla de la protección contra los 10 principales riesgos de seguridad de aplicaciones web según OWASP y los 10 principales riesgos de seguridad de API según OWASP, utilizamos este segundo término, ya que incorpora la protección tanto para las aplicaciones web como para las API.
En la figura 1 se muestra cómo API Gateway autentica las credenciales para el tráfico legítimo y malicioso destinado al entorno de un cliente y cómo App & API Protector aplica a continuación protecciones, visibilidades y escalabilidad de la caché en el Edge a ese tráfico, garantizando que solo llegue el tráfico legítimo al cliente.
Fig. 1: El tráfico es protegido primero por la API Gateway y luego por el App & API Protector antes de llegar al entorno del cliente
Cómo funcionan conjuntamente API Gateway y WAAP
El proceso de una solicitud de API comienza en API Gateway, donde se analiza, se autentica o autoriza y se enruta de forma inteligente.
Una vez que pasa por la puerta de enlace, el tráfico se dirige hacia el App & API Protector, que lleva a cabo comprobaciones de seguridad más profundas, incluidas las de mitigación de ataques distribuidos de denegación de servicio (DDoS) la gestión de bots, el cifrado SSL y TLS, y mucho más. App & API Protector aplica políticas de seguridad para mitigar y corregir los intentos de ataque.
El modelo de seguridad por capas de Akamai solo permite que las solicitudes seguras y legítimas lleguen e interactúen con los servicios back-end y los microservicios críticos del cliente.
Diferencias entre API Gateway y WAAP
Aunque API Gateway y WAAP se complementan entre sí como componentes integrales de la arquitectura y los controles de seguridad de Akamai, desempeñan funciones distintas a la hora de mitigar las amenazas de las API.
API Gateway gestiona la autenticación, la autorización y el enrutamiento del tráfico de API para garantizar que el tráfico se optimice para el rendimiento del tiempo de ejecución y las comprobaciones de seguridad iniciales.
App & API Protector (nuestra solución WAAP) proporciona un nivel de seguridad más profundo y detallado. Protege frente a muchas estrategias maliciosas de los hackers que prevalecen en el panorama de amenazas, incluidos sofisticados ataques web, abusos de las API y mucho más, con tecnologías de seguridad de vanguardia como el motor de seguridad adaptable Adaptive Security Engine de Akamai.
¿Por qué integrar API Gateway con su pila de seguridad?
Con API Gateway como punto de control inicial para todo el tráfico de API entrante de su organización, obtendrá:
Control de acceso. Mediante la validación de JSON Web Tokens (JWT) y la gestión de claves de API en el Edge, API Gateway evita que llegue tráfico innecesario a sus sistemas principales y aligera la carga de su proveedor de identidades al tiempo que reduce significativamente la latencia de la red.
Gestión del tráfico. Gracias a la capacidad de establecer y aplicar límites a las solicitudes de API, sus servicios permanecen operativos incluso en medio de un número excesivo de llamadas. Permite un control detallado sobre quién puede acceder a qué … y con qué frecuencia.
Mejora de la elaboración de informes y la aplicación de políticas. API Gateway ofrece información sobre los patrones de uso de API y puede aplicar políticas como reglas de enrutamiento y ajustes de privacidad de API, lo que garantiza un rendimiento óptimo y el cumplimiento de varios estándares.
Enfoque de seguridad multifunción de App & API Protector
App & API Protector está diseñado para ser una solución de seguridad rápida, fiable y completa que incorpora varias funciones sofisticadas y capas de defensa en un único marco (Figura 2).
Fig. 2: App & API Protector ha sido diseñado como solución multifunción
- Seguridad de aplicaciones líder del sector
- Protección de API
- Protección contra DDoS
- Visibilidad y mitigación de bots
- Plataforma en el Edge de Akamai y red de distribución de contenido (CDN)
Seguridad de aplicaciones líder del sector
Todas sus aplicaciones obtienen una mejor protección con funciones por capas y ajustes detallados personalizables, como la limitación de velocidad avanzada, que se han diseñado para evitar las amenazas más sofisticadas y abordar las vulnerabilidades. Las protecciones adicionales a factores como la reputación del cliente aprovechan la amplia visibilidad de la plataforma para ayudarle a lograr una estrategia de seguridad más proactiva.
Protección de API
Además de las protecciones frente aataques a las API, nuestra solución WAAP incluye API Discovery, que alerta a su equipo de seguridad de las API nuevas, modificadas o vulnerables, e informa de forma proactiva sobre las API que intentan utilizar o acceder a información personal identificable, como números de tarjetas de crédito, direcciones de correo electrónico e información de cuentas. Esto ayuda a evitar las filtraciones de datos y a cumplir con las leyes y normativas que preservan los datos confidenciales.
Protección contra DDoS
Reconocido como líder del mercado en mitigación de DDoS, App & API Protector protege de forma más eficaz la infraestructura mediante la absorción y dispersión del tráfico de ataques en el Edge de la red, lejos de la ubicación del cliente. Las recientes innovaciones también han mejorado las protecciones contra DDoS de capa 7, incluida la limitación de velocidad, para la defensa frente a ataques volumétricos dirigidos a sus aplicaciones.
Visibilidad y mitigación de bots
Adquiera visibilidad en tiempo real de su tráfico de bots con acceso al amplio directorio de Akamai, que cuenta con más de 1700 bots conocidos. Investigue los análisis web sesgados, evite la sobrecarga de origen y cree sus propias definiciones de bots para permitir el acceso a bots de terceros y partners sin ningún impedimento.
Plataforma en el Edge de Akamai y red de distribución de contenido (CDN)
App & API Protector combina la seguridad altamente eficaz con el rendimiento de vanguardia de nuestra plataforma líder y proporciona una disponibilidad del acuerdo de nivel de servicio del 100 % con nuestra solución CDN. También se incluyen funciones muy apreciadas por los clientes como Akamai Site Shield, Akamai Image and Video Manager, Akamai mPulse Lite, Akamai EdgeWorkersy Akamai API Acceleration .
Proteja su red de cualquier amenaza en todo momento
API Gateway y App & API Protector son componentes esenciales de una sólida arquitectura de seguridad que optimizan la gestión de API y la seguridad preliminar, al tiempo que proporcionan una protección más profunda y completa contra amenazas cada vez más complejas. Juntos, pueden defender sus aplicaciones y API de las ciberamenazas en constante evolución.
Con el acceso a estas soluciones de seguridad líderes y un firme dominio de las mismas, su organización puede lograr un entorno digital más seguro y eficiente. Como resultado, puede mejorar su negocio y proporcionar experiencias de usuario increíbles, al tiempo que protege con confianza los activos esenciales.
Más información
Lea el informe 2024 Gartner® Peer Insights™ Voice of the Customer: Cloud WAAP para obtener más información sobre por qué las organizaciones empresariales protegen sus aplicaciones web y API con las soluciones WAAP y AppSec de Akamai.