数字化转型推动API的广泛使用
在我们早期发布的博文中已经分享了IDC的研究报告,也印证了上面描述的趋势
传统应用和API应用的架构区别
● 传统应用更多的后台采用关系型数据库,数据的处理主要发生在应用服务器侧
● 现代应用(API应用)后台更多的采用非关系型数据库,以JSON数据格式传输,数据的处理主要发生在客户端APP侧
架构不同带来了安全防护重点的不同
因为API应用会在客户端App侧针对原始的数据进行处理,这就意味着API安全更需要关注:
● 需要严格管理API的接口,否则很容易带来数据泄露
● API接口背后有大量的原始数据,越权问题是很大的挑战
● 原始数据中的敏感数据的管理需要
因为架构的不同传统的一些高风险攻击优先级会下降:
● 因为后台数据库采用ORM架构,SQLi利用的可能会降低
● 因为认证头取代了传统的Cookie,因此CSRF利用的可能也会降低
安全防护理念的差异:
● 传统的应用通常会有几百甚至上千个业务URL,为了确保应用的可用,通常采用的是黑名单防护机制(针对特定的攻击特征进行阻拦)
● API应用通常都只有几个,最多几十个业务URL,而且功能相对非常明确和单一,因此可以采用白名单机制来实现更加严格的安全策略
正确的理解API安全
API管理更侧重在API生命周期的管理,包含了比较简单的访问控制功能
● 典型解决方案:API GW
● 负责团队:开发和运维团队
API安全保护侧重在API接口的保护,全面的安全防护
● 典型解决方案:API安全解决方案
● 负责团队:安全团队
API管理和API安全防护可以利用API的规范(OAS, Open API Specification)来统一对接标准
可访问网址了解更多:http://o0b.cn/opnoah
因为API安全的热度上升,市场上涌现了很多的API安全解决方案或者部分功能。按照部署方式和工作原理划分,有以下这些种类:
#基于WAF GW的解决方案
● 将API的请求引流到Cloud WAF或者WAF GW上,分析和监控WAF GW上的API流量
● 优点:可以通过DNS方式引流给Cloud WAF,可以非常快捷的部署;Cloud WAF架构可以解密HTTPS流量,并实现恶意API请求的阻拦。
● 缺点:Cloud WAF主要覆盖南北向的流量
#基于日志收集和分析的解决方案
● 利用收集API网关或者其他设备的API访问日志来分析API请求
● 优点:直接获得API请求日志信息,无需担心HTTPS流量问题;
● 缺点:依赖于集成设备的日志,无法覆盖不经过API网关设备的API请求
#基于流量镜像的解决方案
● 利用网络探针分析镜像流量中的API请求
● 优点:可以选择流量镜像的节点,覆盖更多的API应用;不依赖其他设备的日志
● 缺点:无法解密HTTPS里的API请求
#基于代码功能或者Agent
● 将API的请求引流到Cloud WAF或者WAF GW上,分析和监控WAF GW上的API流量
● 优点:可以通过DNS方式引流给Cloud WAF,可以非常快捷的部署;Cloud WAF架构可以解密HTTPS流量,并实现恶意API请求的阻拦。
● 缺点:Cloud WAF主要覆盖南北向的流量
以上技术方案都有优缺点,在真实的防护场景中可能需要多种部署模式的结合
Imperva API Anywhere方案提供以上所有的部署方案,用户可以根据需要任意的组合。
要做好API安全应该遵从完整有效的实践方法
闭环的API安全防护方案
API安全方案的关键在于能够闭环。
利用OAS标准化Swagger规范文件,Imperva WAF产品能够利用更加严格的白名单机制进行安全防护。
后续我们会针对在API安全的最佳实践方法中的四个阶段,发现、验证、检测、缓解每个阶段里的应用场景进行分别介绍。
●END●
