一.什麼是API?
談到API安全,首先需要明確其邊界範疇,當我們談論企業數字化轉型和API安全性時,所指的“API”是基於HTTP的(Web)API,API是由資源路徑、可以對這些資源執行的操作,以及資源資料的定義(JSON、XML、protobuf、gRPC等格式)組成。
API是組織用來支援其業務流程的一種通用方法,這些可能包括:
1、內部實現和使用的API,以標準化和可擴充套件的方式使應用程式功能和資料可用於各種系統和使用者介面;
2、幫助客戶或終端使用者輕鬆訪問功能和資料而實施的API;
3、業務合作伙伴使用的API。
其中,序號1是大家以往更熟悉的網站前後端分析、移動應用呼叫等,更偏向使用者端的TOC API。現在,後面兩種API越來越多的成為公司為其他企業賦能的優選通道,將公司能力API化,對外提供商業能力。
二.API安全分類
數字化轉型將API推上風口,而API安全問題也應運而生,綠盟君建議客戶優先關注以下三個方面:
1、API資產眾多,未能有效進行識別、區分、統計;
2、未受控制的API呼叫;
3、介面業務濫用、漏洞利用等。
而這一優先順序的設計,主要是基於API安全與Web應用安全的區別考慮的。
透過OWASP API安全Top10不難發現,API面臨的安全風險相較於傳統Web安全,整體防護呈現更加精細、獨特的特點。
API存在水平越權和垂直越權兩種威脅,對應到Web應用中的訪問控制失效;
API和Web應用都存在認證失敗的問題;
API面臨的資料洩露問題在Web應用中也存在,但是Web應用關注的資料洩露根本原因是加密失敗導致的;
API缺乏資源和速率的限制及資產管理屬於其特有的安全威脅;
API批次分配問題對應到Web應用的不安全設計風險;
API和Web應用都面臨安全配置錯誤、注入、日誌記錄和監控不足類的風險,但是對於API來說,配置錯誤、注入、日誌記錄和監控問題不屬於API主要關注的風險點。
三.PI常見的威脅場景
基於對API安全風險彙總,參考Gartner的API威脅模型,可以具化為以下四個方向:
應對這四類威脅,API安全建設應該具備如下三大核心能力:API資產發現、API訪問控制、API威脅防護。
No.1
API資產發現
API資產發現是跨團隊協作的過程,它往往會涉及到應用開發團隊、安全團隊、運維團隊等多團隊的協同支撐。
API資產發現的宗旨不侷限於API列表的更新,不同的專案範圍與目標也不盡相同。
No.2
API訪問控制
API訪問控制的功能檢視:
No.3
API安全防護
API安全防護建設方向指南:
四.綠盟下一代Web應用與API安全防護解決方案
綠盟科技透過Web應用防護系統(WAF)、綠盟業務安全閘道器(BMG)、綠盟API安全閘道器(SAG)共同構建了API安全防護端的解決方案,涵蓋了API安全的訪問控制、威脅防護兩大核心要素。同時,綠盟業務安全閘道器支援API識別,支援從部署的位置中識別API。
綠盟Web應用防護系統(WAF)在API安全解決方案中主要聚焦於API漏洞利用防護及一定的API訪問控制能力。在漏洞利用方面:WAF擁有海量的內建規則,透過檢測API請求中存在的注入特徵,能夠有效防止注入類的攻擊;WAF支援自學習功能,能夠透過自學習建立標準基線,用於檢測偏離常規的API異常引數請求;同時也支援對於提交的惡意內容做過濾清洗,檢測包含帶有惡意編碼的API資料內容。在訪問控制方面:WAF提供基於IP、域名和url維度的訪問控制能力。
綠盟業務安全閘道器(BMG)同樣是API安全建設中不可或缺的一環。該產品聚焦於業務濫用保護,具備強大的Bot管理能力及一定的API識別能力。BOT管理與API防護註定是“天生一對”。API逐漸成為企業核心對外介面,使得BOT流量大幅提升,而在API攻擊中,BOT又是主要來源,在針對API業務發起的各類攻擊中,惡意爬蟲(BOT)是最主要的攻擊方式,而BMG是一款專注於高階自動化工具對抗的安全產品,能夠有效解決7層DDoS及各種型別的濫用攻擊。在API識別方面,BMG透過流量對API資產進行自動識別,並支援手動新建API介面,支援對已有的API介面進行集中管理,包括下線、上線、刪除、匯入、匯出等能力。
綠盟API安全閘道器(SAG)的核心價值主要體現在訪問控制。SAG能夠接管所有的API資料介面訪問請求,並與統一認證平臺的API相關模組聯動,邏輯架構上實現控制面與資料面分離,透過通訊加密、暴露面收斂、API認證及授權、API流量管控等手段,為API資料通訊提供安全保證,並聯動API閘道器控制檯上報日誌,實現資料介面訪問審計,對重要介面、重要資料的訪問進行標記,為管理員制定訪問控制策略提供依據。