根據(jù)Gartner的預(yù)測(cè),到2023年,超過50%的B2B交易將擺脫傳統(tǒng)方式,轉(zhuǎn)而通過實(shí)時(shí)API進(jìn)行。
值得警惕的是,雖然API的市場規(guī)模增長迅速,但是安全威脅也在增長。目前,雖然API網(wǎng)關(guān)為API安全提供了各種核心功能,在API管理和API交付中發(fā)揮了重要作用,但是解決API的新興風(fēng)險(xiǎn)需要傳統(tǒng)API網(wǎng)關(guān)范圍之外的各種新的復(fù)雜技術(shù)。
什么是API?
API是應(yīng)用程序編程接口首字母縮寫,是計(jì)算機(jī)程序相互交互的一種方式,充當(dāng)了類似于繁忙城市中的交通控制系統(tǒng)的中間人,確保不同區(qū)域之間的交通無縫銜接。
什么是API網(wǎng)關(guān)?
在典型的微服務(wù)架構(gòu)中,API網(wǎng)關(guān)是一種指令和協(xié)議管理工具,用于處理來自客戶端的請(qǐng)求并決定將它們路由到哪些微服務(wù)以獲取響應(yīng)。
我們可以將其視為一種交通警察或總機(jī),確保將請(qǐng)求傳遞到正確的位置,以便在獲得響應(yīng)的過程中得到正確處理。
對(duì)于微服務(wù),必須存在對(duì)高效API網(wǎng)關(guān)的需求。主要的云供應(yīng)商意識(shí)到API網(wǎng)關(guān)還可以為公司提供一種便捷的方式來啟動(dòng)和運(yùn)行他們的云服務(wù)。
API安全需要什么?
眾所周知,雖然API網(wǎng)關(guān)能夠?yàn)殚_發(fā)人員調(diào)用API提供了更明顯的安全層,但是仍然有改進(jìn)的空間。如果網(wǎng)關(guān)無法適應(yīng)其資源,則漏洞管理將成為一個(gè)令人難以置信的挑戰(zhàn)。
根據(jù)Gartner的說法,到2022年,API濫用將從不常見的攻擊向量轉(zhuǎn)變?yōu)樽畛R姷墓粝蛄浚瑥亩鴮?dǎo)致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露。
人們想要減輕面臨的API安全威脅,需要正確的安全實(shí)施戰(zhàn)略和程序。另外,為了保證API的安全還應(yīng)該制定一個(gè)包含審計(jì)標(biāo)準(zhǔn)、變更控制系統(tǒng)、管理流程、訪問控制措施等在內(nèi)的管理計(jì)劃。
為什么API網(wǎng)關(guān)的安全性還不夠好?
我們應(yīng)該把API網(wǎng)關(guān)和API安全區(qū)別開來,不能混為一談。前者的訪問控制功能,僅僅是API安全的一部分。更糟糕的是,開發(fā)人員確保應(yīng)用程序正常運(yùn)行并執(zhí)行其設(shè)計(jì)的任務(wù)時(shí),攻擊者可以找到巧妙的方法將應(yīng)用程序變成武器。正如OWASPAPI十大安全文件總結(jié)的一樣,API安全威脅同樣包括許多伴隨傳統(tǒng)Web應(yīng)用程序攻擊的漏洞。
隨著支持API的服務(wù)價(jià)值激增至數(shù)百萬美元,黑客會(huì)努力嘗試找到新的方式來獲得不安全的密鑰。主要的三個(gè)關(guān)鍵驅(qū)動(dòng)因素如下。
1.利用有效API令牌的復(fù)雜攻擊可以成功針對(duì)應(yīng)用程序業(yè)務(wù)邏輯和數(shù)據(jù)層漏洞。
2.網(wǎng)絡(luò)攻擊從有效的API令牌中獲取里程數(shù),可以成功的攻擊應(yīng)用程序的業(yè)務(wù)邏輯或數(shù)據(jù)層,原因是它們的設(shè)計(jì)是針對(duì)允許使用API的漏洞。
3.API網(wǎng)關(guān)的主要障礙是它只能監(jiān)控端點(diǎn),盡管如此,它仍然不能完全描述其提供的可供消費(fèi)服務(wù)的完整API模式(RESTfulAPI和API交互方式)。
可能危及API安全的三個(gè)常見風(fēng)險(xiǎn)
處理API數(shù)量的方法乏善可陳
缺乏關(guān)于公共的、合作伙伴的、私人的和復(fù)合的API總數(shù)的信息,使安全團(tuán)隊(duì)無法理解一個(gè)API的真正暴露和風(fēng)險(xiǎn)。
黑客與開發(fā)人員
黑客通過使用工具,甚至更復(fù)雜的方法,侵入開發(fā)者層面的API,之后可以利用細(xì)微的錯(cuò)誤來映射API,了解其結(jié)構(gòu),并找到代碼本身的漏洞。
小企業(yè)API安全問題缺乏關(guān)注
相較于大型企業(yè),小企業(yè)無法提供必要的措施來充分保障其數(shù)據(jù),因此所擁有的安全性較低,面臨的安全風(fēng)險(xiǎn)也會(huì)增多。
WAAP應(yīng)運(yùn)而生
現(xiàn)階段,面臨的API安全威脅增加,防火墻和網(wǎng)關(guān)等傳統(tǒng)安全工具無法始終為用戶提供防止API攻擊所需的防御,WAAP(網(wǎng)絡(luò)應(yīng)用程序和API保護(hù))是必不可少的。
另外,考慮到傳統(tǒng)的Web應(yīng)用程序防火墻解決方案旨在防止基于每個(gè)請(qǐng)求的惡意活動(dòng)。這意味著它們不會(huì)阻止所有形式的網(wǎng)絡(luò)釣魚,包括魚叉式網(wǎng)絡(luò)釣魚攻擊。當(dāng)黑客利用受害者通過電子郵件提供的信息,直接在公司的環(huán)境中進(jìn)行攻擊時(shí),WAAP能夠確保API被屏蔽,不會(huì)導(dǎo)致安全隱患。
WAAP解決方案以四個(gè)關(guān)鍵功能為中心:
DDoS保護(hù)
下一代網(wǎng)絡(luò)應(yīng)用防火墻(WAF)
機(jī)器人管理
API保護(hù)
通過使用WAAP解決方案監(jiān)控進(jìn)入應(yīng)用程序的所有互聯(lián)網(wǎng)流量,企業(yè)可以檢測(cè)惡意活動(dòng)并確保只有受信任的客戶才能在平臺(tái)上進(jìn)行合法交易。WAAP解決方案利用完全托管和基于風(fēng)險(xiǎn)的應(yīng)用程序安全方法來管理Web應(yīng)用程序,能夠防止網(wǎng)絡(luò)威脅的異常活動(dòng)。
注:本文內(nèi)容收集自helpnetsecurity.com,制作者對(duì)其完整性負(fù)責(zé),但不對(duì)其真實(shí)性和有效性負(fù)責(zé)。
