Akamai API Security
āļāļāļāļāļēāļāđāļāļĨāļđāļāļąāļ App & API Protection āđāļĨāđāļ§ Akamai āļĒāļąāļāđāļāđāļāļāļĢāļīāļĐāļąāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāļāļēāļāđāļāđāļāļāļĢāđāļāļĩāđāđāļāļĩāđāļĒāļ§āļāļēāļāđāļāļāļēāļĢāļāļāļāđāļāļ API (API Security) āļāļķāđāļāđāļāđāļāđāļāļĨāļđāļāļąāļāļāļĩāđāļāđāļ§āļĒāļāļāļāđāļāļāļāļāļāđāļāļĢāļāļĩāđāļĄāļĩāļāļēāļĢāđāļāđāļāļąāđāļ API āļāļēāļāļ āļēāļĒāđāļāļŦāļĢāļ·āļāļ āļēāļĒāļāļāļāļāļāļāđāļāļĢ āļĄāļĩāļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāđāļāļāļēāļĢ Discovery āļāļĩāđāļāđāļ§āļĒāļāđāļāļŦāļē API āļāļąāđāļāļŦāļĄāļ āļāđāļ§āļĒāļāļāļāđāļāļāļāđāļāļāđāļŦāļ§āđāļāļĩāđāđāļāļīāļāļāļēāļ API āļāļĩāđāđāļĄāđāđāļāđāđāļāđāđāļĨāđāļ§ (zombie API) āļŦāļĢāļ·āļāļāļēāļĢāļāļąāļāļāļēāļĢ policy āļāļĩāđāļĄāļĩāļāđāļāļāđāļŦāļ§āđāđāļŦāđāļāļđāđāđāļāļĄāļāļĩāļŠāļēāļĄāļēāļĢāļāđāļāļēāļāļķāļāļŠāļīāļāļāļīāđāļāđāļēāļāđāđāļāđāđāļāļĒāđāļĄāđāđāļāđāļĢāļąāļāļāļāļļāļāļēāļ āđāļĨāļ°āļāđāļāļāđāļŦāļ§āđāļāļ·āđāļāđ āļāļēāļĄ OWASP TOP 10
API Security
āđāļāļāļąāļāļāļļāļāļąāļāļŠāļīāđāļāļāļĩāđāļāļąāļāļāļĢāļēāļĒāļāļēāļāļāļēāļĢāļāļđāļāđāļāļĄāļāļĩāļāđāļēāļ API āļāļ·āļ "āļĄāļąāļāđāļĄāđāđāļŦāļĄāļ·āļāļāļāļēāļĢāđāļāļĄāļāļĩāđāļ§āđāļāđāļāļāđāđāļāļāđāļāļīāļĄ" āļāļđāđāđāļāļĄāļāļĩ āļ āļāļāļāļāļĩāđāđāļĄāđāļāļģāđāļāđāļāļāđāļāļāđāļāļēāļ°āļŦāļāđāļēāđāļ§āđāļāļŦāļĢāļ·āļāđāļāļāļāļĨāļīāđāļāļāļąāļāļĄāļ·āļāļāļ·āļ āđāļāđāļŠāļēāļĄāļēāļĢāļāļĄāļļāđāļāđāļāđāļēāđāļāļāļĩāđ API āđāļāļĒāļāļĢāļ āđāļāļ·āđāļāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨāđāļāļ·āđāļāļāļŦāļĨāļąāļ (database) āļŦāļĢāļ·āļ crown jewels āļāļāļāļāļāļāđāļāļĢ API āļāļķāļāļāļĨāļēāļĒāđāļāđāļāļāļēāļāļĨāļąāļāļāļĩāđāļŠāļēāļĄāļēāļĢāļ bypass āļĢāļ°āļāļāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒāđāļāļāđāļāļīāļĄāđāļāđāļāđāļēāļĒāļāļķāđāļ
The 3 Pillars of API Security
Governance
āļ§āļēāļāļĄāļēāļāļĢāļāļēāļāļāļąāđāļāđāļāđāđāļĢāļīāđāļĄāļāđāļāļāļąāļāļāļē API āđāļāļ·āđāļāđāļāļīāđāļĄāļāļ§āļēāļĄāļāļĨāļāļāļ āļąāļĒ āļāđāļ§āļĒāļĨāļāļāļąāļāļŦāļēāļāļĩāđāļāļēāļāđāļāļīāļāļāļķāđāļāđāļāļāļāļēāļāļāđāļāđāļāļąāđāļāđāļāđāļāļąāđāļāļāļāļāļāļēāļĢāļāļāļāđāļāļ
Testing
Monitoring
āļāļāļŠāļāļāļāđāļāļāđāļŦāļ§āđ āļŦāļĢāļ·āļ misconfiguration āļ āļēāļĒāđāļ API āļāđāļāļāļāļģāļāļąāđāļāļāļāļ Production āđāļāđāļ āļāļĢāļ§āļāļŠāļāļāđāļāļ·āđāļāļāļāđāļāļ§āđāļēāļāđāļēāļ OWASP TOP 10 āļŦāļĢāļ·āļāđāļĄāđ
āļāļĢāļ§āļāļāļąāļāļāļĪāļāļīāļāļĢāļĢāļĄāļāļĩāđāļāļīāļāļāļāļāļī āļŦāļĢāļ·āļāļāļĢāļ§āļāļŠāļāļāļ§āđāļēāļāļđāļāđāļāļĄāļāļĩāļāđāļēāļ API āļāļĒāļđāđāļŦāļĢāļ·āļāđāļĄāđ āđāļāđāļ āļĄāļĩ Request API āļāļģāļāļ§āļāļĄāļēāļ āļŦāļĢāļ·āļ Bypass Authentication
Discovery
The Akamai API Security Solution
āļŠāļēāļĄāļēāļĢāļāļāđāļāļŦāļē API āļāļąāđāļāļŦāļĄāļāļāļĩāđāļāļāļāđāļāļĢāđāļāđ āļāļĢāļ§āļāļāļąāļāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāļāļēāļĢāļāļąāđāļāļāđāļēāđāļ API āđāļĨāļ°āļāļģ network mapping
Posture Management
āļāļĢāļ§āļāļŠāļāļāđāļāđāļ§āđāļē API āļāļĩāđāļāđāļāļāļ āļĄāļĩāđāļāļĢāļāļŠāļĢāđāļēāļāļāļĩāđāļāļđāļāļāđāļāļāļŦāļĢāļ·āļāđāļĄāđ āļĄāļĩāļāđāļāļāđāļŦāļ§āđ Token āļŦāļĢāļ·āļ sensitive data āļāļ API āļāļąāđāļāđāļŦāļĢāļ·āļāđāļĄāđ
Runtime Protection
āļŠāļēāļĄāļēāļĢāļāļāļĢāļ§āļāļŠāļāļāđāļāđāđāļāļ near real-time āđāļāļĢāļ°āļŦāļ§āđāļēāļāļāļģ production āđāļāļ·āđāļāļāļđāļ§āđāļēāđāļāļĄāļāļĩāļāļēāļāļāļĩāđāđāļ API āļāļ°āđāļĢ āđāļĨāļ°āļĢāļđāļāđāļāļāđāļŦāļ
Testing
āļĄāļĩāđāļĄāļāļđāļĨ Active Testing āļāļĩāđāļāļģ production app āļĄāļēāļāļāļŠāļāļ āđāļāļĒāļāļ°āļāļģāļĨāļāļāļāļēāļĢāđāļāļĄāļāļĩ āđāļĨāļ°āļāļģāļāļ§āļāļāļĨāđāļāļĄāļāļĩāļāļāļāļĄāļē āļ§āđāļēāļĄāļĩāļāđāļāļāđāļŦāļ§āđāļŦāļĢāļ·āļāđāļĄāđ