本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

搜索

API安全为数字化转型保驾护航

2022-08-12
5756
10

今年的创新沙盒大赛冠军在激烈地角逐中诞生,初创企业Talon Cyber Security公司力克群雄,成功拿下创新沙盒大赛冠军,成为网络安全行业眼中的“明日之星”;Talon Cyber Security公司技术方向为企业提供专有的安全浏览器Talon Work,可为用户提供深度安全可视以及SaaS应用的控制,以求简化未来工作对安全的需求。

创新沙盒大赛十强中还有一个提供API安全的公司Neosec。说起API安全,大家都不陌生,在2019年的RSA Conference上,提供API安全的Salt Security公司闯入十大创新沙盒,当前Salt Security已经成长为估值达到14亿美金的独角兽公司。但2020、2021年API安全在RSAC的创新沙盒中未有露面,有些沉寂,直到2022年又再度露面,说明API安全一直很重要,一直有大量公司在重点投入,那我们今天就看看API安全是什么。

什么是API

API应用编程接口(Application Programming Interface)是一组用于构建和集成应用软件的定义和协议。

今年RSA大会的主题是转型(Transform),转型体现在各个方面,从疫情影响下的办公形式、到国际经济形势的变化等,其中也包括当前各行各业数字化转型下企业架构及业务的转型。

以下来自《API驱动数字化转型的5大趋势》中的描述:

数字化转型依赖于企业的整合能力,即将其服务、能力和资产打包到可重复利用的模块化软件中。每个企业都在其系统中储存了有价值的数据,然而要利用好这些价值,就要通过 API 的能力打破数据孤岛,让数据在不同环境中使用,包括将其与合作伙伴及其他第三方有价值的资产结合起来。

即使一些系统从未设计互通能力,API 也能让开发人员轻松访问并组合不同系统中的数字资产,从而更好地实现整体协同。API 是软件和软件之间进行“对话”的最基本形式,如果将开发人员的经验融入 API 的设计中,(而不是像定制的集成项目那种,经验不可被复制)它们将变得非常强大,从而使开发人员能重复使用数据和系统功能来开发新的应用程序。

API传输格式有多种多样,比如当前较流行和被产品遵守的Open API规范(https://swagger.io/)。

什么是API网关

API网关(API Gateway)提供高性能、高可用、高安全的API托管服务,能快速将企业服务能力包装成标准API服务,借助API网关,可以快速地实现内部系统集成、业务能力开放。

API网关负责将客户端的各种请求路由到相应的服务,然后向请求者发送回复。API网关在客户端和微服务系统之间维护安全连接,并管理公司内外的API流量和请求,包括身份认证、权限控制、安全检测、负载均衡等,同时还需要提供API的生命周期管理。

随着业务的发展,API网关也集成越来越多的功能,主要的功能有:

API生命周期管理:包括API的创建、发布、下线和删除的完整生命周期管理功能。通过API生命周期管理功能,您可以快速、高效的开放成熟的业务能力。

用户授权及访问控制:访问控制包括对访问API的用户进行身份验证和授权检查,网关可以使用众多开放标准来确定消费者的身份或有效性,如OAuth、JWT、API Keys、HTTP Basic Auth等,也可以使用非标准方法在消息标头或有效负载中查找凭据。访问控制策略可以限制API的调用来源IP,可以通过设置IP地址或帐户的黑白名单来允许/拒绝某个IP地址或帐户访问API。

响应转换:响应转换是API网关的重要功能,它充当信息的“转换者”,包括协议的转换、格式的转换;比如前端可能是HTTP协议,到后端服务器就采用私有协议,前端为JSON格式请求,转换为后端XML格式的请求,以及请求URI的转换等等。

流量控制及负载均衡:针对不同的业务等级、用户等级,可实施API的请求频率、用户的请求频率、应用的请求频率和源IP的请求频率的管控,用于保障后端服务的稳定运行;并可针对后端服务提供负载均衡的能力。

API安全检测及防护:API为对外提供业务的接口,暴露在外,必然会面临各种各样的安全问题,包括API误用、API滥用、API漏洞入侵、数据泄漏等,需要有API安全检测和防护模块提供相应的安全保障。

什么是API安全

类似Web的安全TOP10一样,OWASP也总结了API安全 Top10,见下表:

OWASP API 安全 Top 10 – 2019

随着API不断变化及应用的越来越广泛,API的安全问题也会越来越重要,基于API的攻击也在不断变化,相应的API安全检测防护技术也在不断变化,已经不局限于简单的通过AI进行发现和异常检测,在RSA Conference 2022的活动中,除了传统大的安全公司外,另外有近10家API安全相关的公司来参展,比如:Neosec公司引入XDR技术,基于历史API数据的行为和上下文进行威胁分析,通过API进行威胁狩猎及自动化响应编排等。宣称是能防护OWASP API Security Top 10 和OWASP Web Application Security Top 10的唯一方案厂商CequenceSecurity。Noname Security公司宣称是唯一一个主动保护环境免受API安全漏洞、配置错误和设计缺陷的解决方案厂商。Wib公司宣称是第一个提供全生命周期API安全平台的厂商。

在RSA大会上出现的还包括Salt Security、Stack Hawk、Traceabe AI、Wallarm等厂家,各个厂家基于不同的技术,提供不同的差异化API安全检测和防护能力,满足不同场景需求。

我眼中的API安全

API管理平台通常依赖于传统的安全防护方式,例如身份验证、授权、加密、消息过滤和速率限制。虽然这些都是重要的基础安全功能,但在保护API方面却远远不够。经统计,96%的漏洞发生在经过身份验证的API上。所以,API安全是API业务重要的组成部分的,API安全要重点关注以下几个方面:

API的发现:

可持续的对API使用情况进行检测,发现除了未被注册/登记的API外,还包括被滥用、误用的API。

Bot识别及防护:

Bot不仅可以探测API,爬取数据,还可以通过暴力破解、撞库等直接非法侵入,甚至还可以通过自动化扫描,发现漏洞,进而入侵;以及利用大量的Bot发起DDoS攻击等。

API入侵检测:

检测利用API漏洞的攻击,包括API业务平台的Web服务器及中间件漏洞。

API的数据泄漏检测:

检测通过API传输的敏感数据、隐私数据,防止数据泄漏。

威胁检出只是其中关键功能,还需要考虑API的发现和获取,尤其是当前API几乎都是加密传输情况下,以及检测出攻击、异常后的实时阻断能力。

免责声明:文章内容和观点仅代表作者本人观点,供读者思想碰撞与技术交流参考,不作为华为公司产品与技术的官方依据。如需了解华为公司产品与技术详情,请访问产品与技术介绍页面或咨询华为公司人员。

TOP