Wallarm(ワラーム)は、APIディスカバリー機能において、インベントリー内の全てのエンドポイントの認証方法を識別し、それらの認証メカニズムが実際の運用トラフィックでどの程度一貫して使用されているかを測定できるようになったと発表した。今回のアップデートでは、ベアラートークン、APIキー、AWS Signature v4、基本認証、クッキーベース認証、その他の認証情報タイプに対応し、分類を追跡およびフィルタリングできる。
Wallarmによると、この機能は、内部エンドポイントが本当にトークンを必要とするのか、それとも実際には頻繁にトークンを受け取っているだけなのかという疑問に答えることを目的としている。認証ステータスは、API仕様のみに基づくのではなく、ネットワーク上で観測される情報に基づいて判断される。
各エンドポイントには、観測されたトラフィックの7日間の移動平均に基づいて、Consistent(一貫性あり)、Partial(部分的)、Missing(欠落)の3つのステータスのいずれかが割り当てられる。このエンドポイントごとの分類は、認証の適用に関する不確実性を軽減し、認証が断続的に適用されている、または適用されていないカ所を明確にすることを目的としている。
認証されていないエンドポイント専用のフィルターが導入され、インベントリーから直接、公開されているAPIを迅速に特定できるようになった。エンドポイントの詳細ビューでは、パラメーターごとのカバレッジが表示され、認証情報がどのヘッダー、クッキー、またはパラメーターに含まれていたか、また、認証情報が含まれていたリクエストの割合が示されるため、部分的な分類の診断に役立つ。
Wallarmは、この機能を文書化された意図と実際の動作との間のギャップを明らかにする方法として位置付け、認証の欠如はインシデントが発生するまで気付かれないことが多く、仕様とトラフィックの不一致はリスクを生み出す可能性があると指摘した。この機能は、アクセス制御をリアルタイムのトラフィック監視に基づいて行う方法として提示されている。
認証テレメトリーを収集するには、フィルタリングノードをNGINX Node 6.10.0またはNative Node 0.23.0(またはそれ以降のバージョン)にアップデートする必要がある(実装の詳細については製品ドキュメントを参照)。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
