本文来自FreeBuf,作者/wzb123。
云计算架构的出现使企业重新思考应用程序的扩展方式,从而推动了企业摆脱通过虚拟机等基础设施部署全栈应用程序,而是通过创建由多个互操作服务组成的API,采用微服务方法。
根据Gartner的预测,到2023年,超过50%的B2B交易将摆脱传统方式,转而通过实时API进行。
值得警惕的是,虽然API的市场规模增长迅速,但是安全威胁也在增长。目前,虽然API网关为API安全提供了各种核心功能,在API管理和API交付中发挥了重要作用,但是解决API的新兴风险需要传统API网关范围之外的各种新的复杂技术。
什么是API?
API是应用程序编程接口首字母缩写,是计算机程序相互交互的一种方式,充当了类似于繁忙城市中的交通控制系统的中间人,确保不同区域之间的交通无缝衔接。
什么是API网关?
在典型的微服务架构中,API网关是一种指令和协议管理工具,用于处理来自客户端的请求并决定将它们路由到哪些微服务以获取响应。
我们可以将其视为一种交通警察或总机,确保将请求传递到正确的位置,以便在获得响应的过程中得到正确处理。
对于微服务,必须存在对高效API网关的需求。主要的云供应商意识到API网关还可以为公司提供一种便捷的方式来启动和运行他们的云服务。
API安全需要什么?
众所周知,虽然API网关能够为开发人员调用API提供了更明显的安全层,但是仍然有改进的空间。如果网关无法适应其资源,则漏洞管理将成为一个令人难以置信的挑战。
根据Gartner的说法,到2022年,API滥用将从不常见的攻击向量转变为最常见的攻击向量,从而导致企业Web应用程序的数据泄露。
人们想要减轻面临的API安全威胁,需要正确的安全实施战略和程序。另外,为了保证API的安全还应该制定一个包含审计标准、变更控制系统、管理流程、访问控制措施等在内的管理计划。
为什么API网关的安全性还不够好?
我们应该把API网关和API安全区别开来,不能混为一谈。前者的访问控制功能,仅仅是API安全的一部分。更糟糕的是,开发人员确保应用程序正常运行并执行其设计的任务时,攻击者可以找到巧妙的方法将应用程序变成武器。正如OWASP API十大安全文件总结的一样,API安全威胁同样包括许多伴随传统Web应用程序攻击的漏洞。
随着支持API的服务价值激增至数百万美元,黑客会努力尝试找到新的方式来获得不安全的密钥。主要的三个关键驱动因素如下。
1.利用有效API令牌的复杂攻击可以成功针对应用程序业务逻辑和数据层漏洞。
2.网络攻击从有效的API令牌中获取里程数,可以成功的攻击应用程序的业务逻辑或数据层,原因是它们的设计是针对允许使用API的漏洞。
3.API网关的主要障碍是它只能监控端点,尽管如此,它仍然不能完全描述其提供的可供消费服务的完整API模式(RESTful API和API交互方式)。
可能危及API安全的三个常见风险
处理API数量的方法乏善可陈
缺乏关于公共的、合作伙伴的、私人的和复合的API总数的信息,使安全团队无法理解一个API的真正暴露和风险。
黑客与开发人员
黑客通过使用工具,甚至更复杂的方法,侵入开发者层面的API,之后可以利用细微的错误来映射API,了解其结构,并找到代码本身的漏洞。
小企业API安全问题缺乏关注
相较于大型企业,小企业无法提供必要的措施来充分保障其数据,因此所拥有的安全性较低,面临的安全风险也会增多。
WAAP应运而生
现阶段,面临的API安全威胁增加,防火墙和网关等传统安全工具无法始终为用户提供防止API攻击所需的防御,WAAP(网络应用程序和API保护)是必不可少的。
另外,考虑到传统的Web应用程序防火墙解决方案旨在防止基于每个请求的恶意活动。这意味着它们不会阻止所有形式的网络钓鱼,包括鱼叉式网络钓鱼攻击。当黑客利用受害者通过电子邮件提供的信息,直接在公司的环境中进行攻击时,WAAP能够确保API被屏蔽,不会导致安全隐患。
WAAP解决方案以四个关键功能为中心:
DDoS保护
下一代网络应用防火墙(WAF)
机器人管理
API保护
通过使用WAAP解决方案监控进入应用程序的所有互联网流量,企业可以检测恶意活动并确保只有受信任的客户才能在平台上进行合法交易。WAAP解决方案利用完全托管和基于风险的应用程序安全方法来管理Web应用程序,能够防止网络威胁的异常活动。
注:本文内容收集自helpnetsecurity.com,制作者对其完整性负责,但不对其真实性和有效性负责。
