本文來自微信公眾號“數(shù)世咨詢”,作者/nana。
云計算是數(shù)字化轉(zhuǎn)型的核心部分。大多數(shù)企業(yè)如今都在使用基于云的各種服務(wù)。這些服務(wù)能夠幫助企業(yè)在這不斷變化的時代保持敏捷與韌性。
絕大多數(shù)(92%)企業(yè)都在云端托管各類資源和功能。這些資源和功能是業(yè)務(wù)運(yùn)營的必備條件。但是,云的安全程度如何?并不特別安全。
2021年的調(diào)查研究表明,98%的企業(yè)面臨針對云的攻擊。而這一比例在2020年還只是10%,一年半的時間就飆升了如此之多。
這些年來,云黑客攻擊的主要原因歷經(jīng)演變。目前,API是云所面臨的主要威脅之一。而且,API安全風(fēng)險是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域一個令人不安的趨勢。三分之二的云數(shù)據(jù)泄露都是有錯誤配置的API引起的。
為什么API是云所面臨的首要威脅?該怎樣保護(hù)云及其上托管的各類資源?下面我們就好好說道說道。
云黑客攻擊掠影
首先,云會遭遇黑客攻擊嗎?那還用說?肯定會被黑的。美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)去年就警告過我們了。
黑客已經(jīng)注意到云對當(dāng)今企業(yè)的重要性了。他們還知道很多公司都在用公有云。私有/內(nèi)部云比公有云更難黑。
在公有云上,企業(yè)和供應(yīng)商共擔(dān)安全責(zé)任。公有云上可供攻擊者利用的漏洞越來越多。
一些企業(yè)還未能應(yīng)用足夠的安全控制措施來保護(hù)云端安全。因此,云黑客攻擊實(shí)例日漸增多。
為什么API是云安全的主要威脅?
不安全的API和接口是當(dāng)今云安全的主要威脅,緊隨身份、訪問和密鑰管理不足之后,位列云威脅榜單第二位。
API威脅排名上升
在2019年時,API尚未被視作云安全的大威脅。那個時候,API依賴還很少。而如今,我們對API的依賴正迅速增長。我們正從基于Web的基礎(chǔ)設(shè)施轉(zhuǎn)向應(yīng)用API基礎(chǔ)設(shè)施。單一整體應(yīng)用和網(wǎng)站越來越少了。
API為開發(fā)人員提供了敏捷構(gòu)件塊,讓他們可以輕松開發(fā)云服務(wù)。API還可以提供優(yōu)良得多的連接性。但有得必有失,這些好處同時也伴隨著一些風(fēng)險。于是,API成了CISO的首要安全顧慮。
API擴(kuò)大了攻擊面
API會擴(kuò)大攻擊面,方便惡意黑客進(jìn)行云攻擊。為什么API會擴(kuò)大攻擊面呢?因?yàn)樗鼈儫o處不在。API的普及形成了一個相互關(guān)聯(lián)的架構(gòu)。
這里的一個錯誤配置或者那里的一個失效訪問控制就是黑客所需的全部了。他們會利用這些漏洞黑掉云。
而且,外部API和第三方云服務(wù)也沒少用。如果你的供應(yīng)商沒把API安全當(dāng)回事,那你就得做好面對損害的準(zhǔn)備了。90%的數(shù)據(jù)泄露都是奔著云資產(chǎn)和服務(wù)來的。
API本質(zhì)上就會造成數(shù)據(jù)安全問題
API要方便訪問和連接各種資源與數(shù)據(jù)。換句話說,API本就要暴露數(shù)據(jù)和資源。如果沒做好API防護(hù),位于云端的敏感數(shù)據(jù)就會暴露給攻擊者了。然后,攻擊者可以很輕松地修改、刪除或盜取數(shù)據(jù)。
API威脅云數(shù)據(jù)安全,因?yàn)榇蠖鄶?shù)企業(yè)都不具備:
•恰當(dāng)?shù)脑L問控制
•實(shí)時可見性
•穩(wěn)健的數(shù)據(jù)安全策略
管理API很復(fù)雜
企業(yè)平均在用15564個API。去年,企業(yè)內(nèi)API的使用飛速增長,增長率高達(dá)201%。大型企業(yè)平均使用25592個API。
這就讓開發(fā)人員很難監(jiān)測、管理和保護(hù)所有API了。而集中可見性的缺乏又進(jìn)一步加劇了這一挑戰(zhàn)。
因此,一些漏洞和安全缺陷就出現(xiàn)了。這些不受管控的影子API讓攻擊者得以輕松進(jìn)行云攻擊。此類漏洞示例如下:
√SaaS錯誤配置
√禁用安全控制措施
√未經(jīng)身份驗(yàn)證的端點(diǎn)
√禁用日志和監(jiān)視
API安全錯誤認(rèn)知導(dǎo)致安全狀況不佳
此類API安全錯誤認(rèn)知示例如下:
×基于端口的封禁有效
×基于簽名的技術(shù)足以保護(hù)API
×防火墻、API網(wǎng)關(guān)和IAM工具足以保護(hù)API
×單一自動化工具可有效應(yīng)對API威脅。例如下一代WAF和入侵防御系統(tǒng)(IPS)
但現(xiàn)實(shí)與之截然不同。你需要的是多層全面API安全解決方案,其中要包含:
√下一代WAF
√特定于API的規(guī)則
√全球威脅情報來源
√實(shí)時集中可見性
√高級爬蟲與DDoS緩解
√自學(xué)習(xí)AI、自動化和數(shù)據(jù)分析
√行為分析(檢測惡意行為)
√認(rèn)證安全專業(yè)人員的專業(yè)知識(用以解決復(fù)雜問題)
只有這樣的解決方案才能確保你不被暴露的API蒙蔽了雙眼。