Spoločnosť F5 tento rok oslavuje 30 rokov na trhu. Počas konferencie F5 Innovation Day 2026 sa potvrdilo, že aj po troch desaťročiach patrí medzi technologických lídrov v oblasti bezpečnosti aplikácií, správy moderných hybridných prostredí a ochrany API.
Na podujatí sa zúčastnil aj náš kolega Juraj Nemeček, vedúci oddelenia infraSEC v spoločnosti Alanata, ktorý predstavil praktické skúsenosti z implementácie riešení F5 pri chrane API-based aplikácií zároveň zhrnul najdôležitejšie trendy.
Diskusie aj prezentácie na konferencií ukázali, že bezpečnosť dnes už nie je len otázkou infraštruktúry – čoraz viac sa presúva priamo do vrstvy aplikácií a API.
Prečo dnes nestačí klasický WAF
Moderné aplikácie fungujú výrazne inak ako pred niekoľkými rokmi. Sú postavené na kontajneroch, mikroslužbách a komunikácií cez API. Aplikácie majú často svoje dáta dostupné z rôznych zdrojov, v dôsledku čoho už bežne bežia v hybridných prostrediach kombinujúcich on-premise infraštruktúru a cloud.
Práve preto sa čoraz viac presadzuje koncept Advanced Web Application Firewall (AWAF), ktorý ide nad rámec klasického WAF.
Medzi jeho kľúčové funkcie patria napríklad:
- ochrana prihlasovacích údajov (credential theft protection)
- detekcia a blokovanie botov
- ochrana pred cielenými útokmi
- možnosť automatizácie ladenia bezpečnostných politík
- analýza správania aplikácií a API endpointov
Alanata bola prvým partnerom F5 v strednej a východnej Európe s platinovým štatútom
Alanata bola prvým partnerom F5 v strednej a východnej Európe s platinovým štatútom
API: nové centrum bezpečnostných rizík
Veľká časť moderných aplikácií je dnes postavená na komunikácii prostredníctvom API. API rozhrania majú jasne definované štruktúry a natívne vstavané autentifikačné mechanizmy, čo na prvý pohľad môže pôsobiť ako bezpečnostná výhoda.
V praxi to však často neznamená, že sú aj automaticky bezpečné.
Ako upozornil Juraj Nemeček, aplikácie založené na API vedia mať svoj komunikačný model presne popísaný, no v realite bývajú tieto predpisy buď neúplné, neaktuálne alebo rozkúskované tak, že zostavenie komplexnej bezpečnostnej politiky je veľká výzva. To vytvára priestor pre chybné konfigurácie, zraniteľnosti a v konečnom dôsledku nesprávne nastavené bezpečnostné politiky.
Preto je dôležité pracovať s nástrojmi, ktoré dokážu:
- poskytovať API špecifikácie (napr. OpenAPI)
- generovať bezpečnostné pravidlá a rozsahy očakávaných vstupných a výstupných formátov dát
- testovať jednotlivé scenáre komunikácie
- odhaliť nesúlad medzi dokumentáciou a reálnym správaním aplikácie
Ako sa nastavuje bezpečnostná politika pre API
Pri implementácii ochrany API prostredníctvom riešenia od F5 existujú dva základné prístupy:
- Guided konfigurácia
Automatizovaný proces, ktorý na základe API špecifikácie samostatne vytvára bezpečnostnú politiku. - Manuálna konfigurácia
Detailné nastavenie bezpečnostných pravidiel, ktoré bezpečnostnému inžinierovi umožňuje presnejšie reagovať na špecifiká aplikácie.
Oba prístupy majú svoje výhody aj nevýhody. Automatizácia dokáže výrazne zrýchliť implementáciu no nie všetky aplikácie musia striktne zapadať do predpripravenej šablóny, zatiaľ čo manuálne nastavenie poskytuje vyššiu mieru kontroly nad bezpečnostnými pravidlami za cenu dlhšieho trvania ich prípravy.
Chcete viac informácií o riešeniach od spoločnosti F5? Kontaktujte nás
Chcete viac informácií o riešeniach od spoločnosti F5?
Praktické skúsenosti z projektov
Zaujímavým zistením z praxe je aj to, že bezpečnostná konfigurácia API aplikácií býva väčšinou jednoduchšia než pri tradičných webových aplikáciách.
Podľa skúseností z implementácií:
- ladenie bezpečnostnej politiky môže trvať približne tretinu času oproti tradičným aplikáciám,
- približne 30 – 40 % organizácií už nasadzuje API-based aplikácie a s nimi spojené bezpečnostné politiky,
- bezpečnostné nastavenia sa však nedajú úplne automatizovať – vždy vyžadujú určitú mieru testovania a ladenia
Zároveň sa ukazuje, že veľkým rizikom býva nekvalitná alebo neúplná dokumentácia API zo strany dodávateľov aplikácií.
Bezpečnosť aplikácií je dnes strategická téma
F5 Innovation Day 2026 potvrdil, že bezpečnosť aplikácií a ich API je jednou z kľúčových oblastí kybernetickej bezpečnosti.
Organizácie dnes čelia prostrediu, kde:
- aplikácie sú distribuované naprieč cloudom a on-premise infraštruktúrou
- komunikácia medzi systémami je čoraz viac API-based
- útočníci využívajú automatizáciu, botnety a nachádzajú nové zraniteľnosti a spôsoby útokov
V takomto prostredí už zaužívané bezpečnostné prístupy nemusia nestačiť. Organizácie potrebujú riešenia, ktoré dokážu rozumieť aplikačnej logike, analyzovať API komunikáciu a reagovať na nové typy útokov v reálnom čase.
Ak vás zaujíma, ako možno tieto technológie využiť vo vašej infraštruktúre alebo ako zabezpečiť moderné aplikácie a API v hybridnom prostredí, odborníci z Alanata vám radi pomôžu s návrhom aj implementáciou vhodného riešenia.
