Перейти к содержанию

ПроAPI Защита

ПроAPI Защита — это высокопроизводительный прокси-сервер с проверкой запросов и ответов API на основе спецификации OpenAPI и GraphQL схемы. ПроAPI Защита предназначена для защиты эндпоинтов API REST и GraphQL в облачных средах.

ПроAPI Защита обеспечивает усиление защиты API за счет использования позитивной модели безопасности, позволяющей выполнять вызовы, соответствующие предопределенной спецификации API, для запросов и ответов, отклоняя при этом все остальное.

Возможности ПроAPI Защита

На данный момент ПроAPI Защита предоставляет следующие возможности:

  • Усиление защиты REST API путем проверки запросов на соответствие заявленной спецификации OpenAPI 3.0. (позитивная модель).

  • Предотвращение утечек данных путем проверки ответов приложения на соответствие заявленной спецификации.

  • Валидация JWT токенов в OAuth 2.0 аутентификации.

  • Обнаружение Shadow API (теневая версия API может содержать устаревшие, небезопасные, незащищенные, развернутые для отладки методы и эндпоинты и стать причиной утечек данных и компрометации системы).

  • Логирование запросов ко всем эндпоинтам API, которых нет в спецификации, в случае если приложение отвечает 2xx или 5xx кодом.

  • Блокировка запросов с утекшими токенами, файлами cookie и прочего.

Режимы работы ПроAPI Защита

  • PROXY: проверяет HTTP-запросы и ответы на соответствие OpenAPI 3.0 и передает соответствующие запросы на серверную часть.

  • API: проверяет отдельные запросы на соответствие OpenAPI 3.0 без дальнейшего проксирования.

  • GraphQL: проверяет запросы HTTP и WebSocket на соответствие схеме GraphQL и передает соответствующие запросы на серверную часть.

Варианты использования ПроAPI Защита

  1. Работа в режиме блокировки

    • Блокировка запросов, не соответствующих спецификации.
    • Блокировка некорректных ответов API для предотвращения утечки данных и раскрытия конфиденциальной информации.
  2. Работа в режиме мониторинга

    • Обнаружение теневых API и недокументированных эндпоинтов API.
    • Регистрация некорректных запросов и ответов, которые не соответствуют спецификации.