本文來自FreeBuf,作者/wzb123。
云計算架構(gòu)的出現(xiàn)使企業(yè)重新思考應(yīng)用程序的擴展方式,從而推動了企業(yè)擺脫通過虛擬機等基礎(chǔ)設(shè)施部署全棧應(yīng)用程序,而是通過創(chuàng)建由多個互操作服務(wù)組成的API,采用微服務(wù)方法。
根據(jù)Gartner的預(yù)測,到2023年,超過50%的B2B交易將擺脫傳統(tǒng)方式,轉(zhuǎn)而通過實時API進行。
值得警惕的是,雖然API的市場規(guī)模增長迅速,但是安全威脅也在增長。目前,雖然API網(wǎng)關(guān)為API安全提供了各種核心功能,在API管理和API交付中發(fā)揮了重要作用,但是解決API的新興風險需要傳統(tǒng)API網(wǎng)關(guān)范圍之外的各種新的復(fù)雜技術(shù)。
什么是API?
API是應(yīng)用程序編程接口首字母縮寫,是計算機程序相互交互的一種方式,充當了類似于繁忙城市中的交通控制系統(tǒng)的中間人,確保不同區(qū)域之間的交通無縫銜接。
什么是API網(wǎng)關(guān)?
在典型的微服務(wù)架構(gòu)中,API網(wǎng)關(guān)是一種指令和協(xié)議管理工具,用于處理來自客戶端的請求并決定將它們路由到哪些微服務(wù)以獲取響應(yīng)。
我們可以將其視為一種交通警察或總機,確保將請求傳遞到正確的位置,以便在獲得響應(yīng)的過程中得到正確處理。
對于微服務(wù),必須存在對高效API網(wǎng)關(guān)的需求。主要的云供應(yīng)商意識到API網(wǎng)關(guān)還可以為公司提供一種便捷的方式來啟動和運行他們的云服務(wù)。
API安全需要什么?
眾所周知,雖然API網(wǎng)關(guān)能夠為開發(fā)人員調(diào)用API提供了更明顯的安全層,但是仍然有改進的空間。如果網(wǎng)關(guān)無法適應(yīng)其資源,則漏洞管理將成為一個令人難以置信的挑戰(zhàn)。
根據(jù)Gartner的說法,到2022年,API濫用將從不常見的攻擊向量轉(zhuǎn)變?yōu)樽畛R姷墓粝蛄?,從而導致企業(yè)Web應(yīng)用程序的數(shù)據(jù)泄露。
人們想要減輕面臨的API安全威脅,需要正確的安全實施戰(zhàn)略和程序。另外,為了保證API的安全還應(yīng)該制定一個包含審計標準、變更控制系統(tǒng)、管理流程、訪問控制措施等在內(nèi)的管理計劃。
為什么API網(wǎng)關(guān)的安全性還不夠好?
我們應(yīng)該把API網(wǎng)關(guān)和API安全區(qū)別開來,不能混為一談。前者的訪問控制功能,僅僅是API安全的一部分。更糟糕的是,開發(fā)人員確保應(yīng)用程序正常運行并執(zhí)行其設(shè)計的任務(wù)時,攻擊者可以找到巧妙的方法將應(yīng)用程序變成武器。正如OWASP API十大安全文件總結(jié)的一樣,API安全威脅同樣包括許多伴隨傳統(tǒng)Web應(yīng)用程序攻擊的漏洞。
隨著支持API的服務(wù)價值激增至數(shù)百萬美元,黑客會努力嘗試找到新的方式來獲得不安全的密鑰。主要的三個關(guān)鍵驅(qū)動因素如下。
1.利用有效API令牌的復(fù)雜攻擊可以成功針對應(yīng)用程序業(yè)務(wù)邏輯和數(shù)據(jù)層漏洞。
2.網(wǎng)絡(luò)攻擊從有效的API令牌中獲取里程數(shù),可以成功的攻擊應(yīng)用程序的業(yè)務(wù)邏輯或數(shù)據(jù)層,原因是它們的設(shè)計是針對允許使用API的漏洞。
3.API網(wǎng)關(guān)的主要障礙是它只能監(jiān)控端點,盡管如此,它仍然不能完全描述其提供的可供消費服務(wù)的完整API模式(RESTful API和API交互方式)。
可能危及API安全的三個常見風險
處理API數(shù)量的方法乏善可陳
缺乏關(guān)于公共的、合作伙伴的、私人的和復(fù)合的API總數(shù)的信息,使安全團隊無法理解一個API的真正暴露和風險。
黑客與開發(fā)人員
黑客通過使用工具,甚至更復(fù)雜的方法,侵入開發(fā)者層面的API,之后可以利用細微的錯誤來映射API,了解其結(jié)構(gòu),并找到代碼本身的漏洞。
小企業(yè)API安全問題缺乏關(guān)注
相較于大型企業(yè),小企業(yè)無法提供必要的措施來充分保障其數(shù)據(jù),因此所擁有的安全性較低,面臨的安全風險也會增多。
WAAP應(yīng)運而生
現(xiàn)階段,面臨的API安全威脅增加,防火墻和網(wǎng)關(guān)等傳統(tǒng)安全工具無法始終為用戶提供防止API攻擊所需的防御,WAAP(網(wǎng)絡(luò)應(yīng)用程序和API保護)是必不可少的。
另外,考慮到傳統(tǒng)的Web應(yīng)用程序防火墻解決方案旨在防止基于每個請求的惡意活動。這意味著它們不會阻止所有形式的網(wǎng)絡(luò)釣魚,包括魚叉式網(wǎng)絡(luò)釣魚攻擊。當黑客利用受害者通過電子郵件提供的信息,直接在公司的環(huán)境中進行攻擊時,WAAP能夠確保API被屏蔽,不會導致安全隱患。
WAAP解決方案以四個關(guān)鍵功能為中心:
DDoS保護
下一代網(wǎng)絡(luò)應(yīng)用防火墻(WAF)
機器人管理
API保護
通過使用WAAP解決方案監(jiān)控進入應(yīng)用程序的所有互聯(lián)網(wǎng)流量,企業(yè)可以檢測惡意活動并確保只有受信任的客戶才能在平臺上進行合法交易。WAAP解決方案利用完全托管和基于風險的應(yīng)用程序安全方法來管理Web應(yīng)用程序,能夠防止網(wǎng)絡(luò)威脅的異?;顒?。
注:本文內(nèi)容收集自helpnetsecurity.com,制作者對其完整性負責,但不對其真實性和有效性負責。