本文來自微信公眾號(hào)“安全牛”。
隨著傳統(tǒng)網(wǎng)絡(luò)邊界的不斷變化,零信任架構(gòu)(Zero Trust architecture,ZTA)已經(jīng)從一個(gè)討論話題,轉(zhuǎn)變?yōu)樵S多企業(yè)組織積極推進(jìn)采用的切實(shí)計(jì)劃。然而,在許多企業(yè)所制定的ZTA應(yīng)用計(jì)劃中,在設(shè)計(jì)持續(xù)評(píng)估信任的方法時(shí),往往會(huì)忽略對(duì)API安全性的關(guān)注。
日前,云安全廠商Akamai的安全專家Abigail Ojeda發(fā)表了一篇博客文章,從實(shí)現(xiàn)零信任架構(gòu)的7個(gè)基本原則視角,對(duì)如何將零信任與API安全性有效融合進(jìn)行了分析和思考,并就企業(yè)如何開展API安全能力建設(shè)提出了具體建議。
API安全性與零信任的交叉點(diǎn)
在美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的NIST SP 200-807標(biāo)準(zhǔn)中,概述了實(shí)現(xiàn)零信任架構(gòu)的七個(gè)基本原則。雖然這些原則并不專門針對(duì)API安全性所設(shè)計(jì),但是同樣可以給企業(yè)的API安全建設(shè)提出明確建議和指導(dǎo)。企業(yè)組織應(yīng)該參考NIST SP 200-807標(biāo)準(zhǔn)所提出的七個(gè)基本原則,讓企業(yè)的API安全防護(hù)與零信任安全建設(shè)保持一致。
原則1、將所有數(shù)據(jù)源和計(jì)算服務(wù)都作為需要保護(hù)的對(duì)象。
零信任安全的覆蓋范圍并不僅僅是針對(duì)那些可以被看到的應(yīng)用程序和數(shù)據(jù)。有許多應(yīng)用程序和數(shù)據(jù)源是無法通過直接的用戶界面來展示的,但它們卻可以通過API被訪問到。因此,在企業(yè)組織的零信任建設(shè)規(guī)劃和策略實(shí)施模型中,應(yīng)充分考慮并包含所有的API接口。
原則2、無論是位于企業(yè)網(wǎng)絡(luò)的內(nèi)部還是外部,所有的通信連接都必須是安全的。
按照此原則,企業(yè)應(yīng)該為所有的API應(yīng)用設(shè)計(jì)合適的保護(hù)措施。即使某些API僅用于私有的數(shù)據(jù)中心環(huán)境,或僅在云環(huán)境內(nèi)部被使用,企業(yè)也應(yīng)該對(duì)其進(jìn)行數(shù)據(jù)加密、身份授權(quán)和訪問控制,以確保數(shù)據(jù)的機(jī)密性和完整性。
原則3、對(duì)每個(gè)企業(yè)資源都進(jìn)行基于連接的精細(xì)化授權(quán)。
組織應(yīng)該將所有的API應(yīng)用都視為獨(dú)立的資源,在對(duì)其進(jìn)行訪問權(quán)限之前,都應(yīng)該基于連接來評(píng)估信任。企業(yè)應(yīng)該以盡可能少地為API應(yīng)用授予不必要的訪問權(quán)限。同時(shí),還應(yīng)該使用行為分析來監(jiān)控API使用狀態(tài)并持續(xù)評(píng)估它的可信任度。
原則4、動(dòng)態(tài)決定對(duì)資源的訪問權(quán)限,同時(shí)包括對(duì)其行為屬性進(jìn)行分析。
在2023年最新發(fā)布的OWASP API安全性TOP 10排行中,已經(jīng)明確將缺乏API管控限制定義為一種對(duì)敏感業(yè)務(wù)流的無限制訪問漏洞。而NIST也同樣指出,要基于業(yè)務(wù)流程的需求和可接受的風(fēng)險(xiǎn)水平來合理設(shè)置相應(yīng)的權(quán)限。因此,企業(yè)應(yīng)該將本條原則有效應(yīng)用于API應(yīng)用,組織必須能夠識(shí)別所涉及的業(yè)務(wù)實(shí)體,結(jié)合業(yè)務(wù)流的上下文信息全面判斷,并使用行為分析來監(jiān)測(cè)其與正常使用模式之間的偏差。
原則5、企業(yè)應(yīng)持續(xù)監(jiān)控并評(píng)估其所有內(nèi)外部數(shù)字資產(chǎn)的完整性和安全性。
這條原則是基于美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)定義的資產(chǎn)持續(xù)診斷和緩解(CDM)概念所提出。在CDM概念中包括了資產(chǎn)管理、漏洞管理和配置管理等多項(xiàng)應(yīng)該管理的要素。
就像所有的企業(yè)實(shí)物資產(chǎn)一樣,API應(yīng)用也必須不斷地被發(fā)現(xiàn)、分類和跟蹤。因此,在零信任建設(shè)中所包含的脆弱性評(píng)估工作,應(yīng)該超越傳統(tǒng)意義上的安全漏洞,全面覆蓋到基于API在內(nèi)的更多新型安全漏洞。
原則6、所有資源的身份授權(quán)和驗(yàn)證都是動(dòng)態(tài)的,并在其進(jìn)行資源訪問前強(qiáng)制實(shí)施。
這個(gè)原則其實(shí)很容易擴(kuò)展到面向所有的API應(yīng)用。采用零信任安全架構(gòu)的組織應(yīng)該對(duì)所有的API使用情況進(jìn)行持續(xù)監(jiān)控,并使用自動(dòng)化技術(shù)對(duì)API流量中檢測(cè)到的異常或?yàn)E用行為進(jìn)行響應(yīng)處置。
原則7、企業(yè)應(yīng)盡可能收集關(guān)于資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的實(shí)時(shí)狀態(tài)信息,并將其應(yīng)用于改善網(wǎng)絡(luò)安全。
要讓API安全性真正融入企業(yè)整體的零信任安全體系中,企業(yè)所制定的各項(xiàng)API安全措施就必須能夠長時(shí)間獲取數(shù)據(jù),并有足夠的時(shí)間來檢測(cè)細(xì)微的API濫用。這對(duì)于執(zhí)行行為分析以實(shí)現(xiàn)實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估和零信任策略持續(xù)優(yōu)化是非常必要的。為了實(shí)現(xiàn)這個(gè)原則,安全分析師需要提供對(duì)API和威脅數(shù)據(jù)的按需訪問,以便找出問題并改進(jìn)。
建立API安全性的7個(gè)建議
對(duì)于大多數(shù)想要部署應(yīng)用零信任安全架構(gòu)的組織來說,最大的挑戰(zhàn)是決定從何處入手。就API安全性而言,采取以下建設(shè)步驟或?qū)槠淙谌肫髽I(yè)整體的零信任安全計(jì)劃打好基礎(chǔ):
●實(shí)現(xiàn)持續(xù)的API資產(chǎn)發(fā)現(xiàn),并維護(hù)一份API應(yīng)用和可訪問資產(chǎn)的完整清單;
●當(dāng)發(fā)現(xiàn)未經(jīng)批準(zhǔn)的API時(shí),確保有合適的管控措施,要么將其納入統(tǒng)一管理,要么將其快速消除;
●無論API應(yīng)用是公共的還是私有的,都要實(shí)現(xiàn)有效的API身份驗(yàn)證和授權(quán);
●從OWASP API安全性TOP 10排行榜入手,主動(dòng)識(shí)別API應(yīng)用中的安全漏洞,將其作為一項(xiàng)持續(xù)的安全工作;
●開發(fā)或選型能夠分析大型API流量數(shù)據(jù)集的工具,以確定正常API應(yīng)用行為的安全基線并執(zhí)行異常檢測(cè);
●向ZTA策略引擎提供威脅和信任見解,因?yàn)樗鼈兪峭ㄟ^API集成實(shí)現(xiàn)的;
●當(dāng)出現(xiàn)API漏洞、威脅和濫用時(shí),能夠快速啟動(dòng)事件響應(yīng)和處置。