云计算架构的出现使企业重新思考应用程序的扩展方式,从而推动了企业摆脱通过虚拟机等基础设施部署全栈应用程序,而是通过创建由多个互操作服务组成的 API,采用微服务方法。
根据 Gartner 的预测,到 2023 年,超过 50% 的 B2B 交易将摆脱传统方式,转而通过实时 API 进行。
值得警惕的是,虽然 API 的市场规模增长迅速,但是安全威胁也在增长。目前,虽然API 网关为 API 安全提供了各种核心功能,在 API 管理和 API 交付中发挥了重要作用,但是解决 API 的新兴风险需要传统 API 网关范围之外的各种新的复杂技术。
什么是 API?
API 是应用程序编程接口首字母缩写,是计算机程序相互交互的一种方式,充当了类似于繁忙城市中的交通控制系统的中间人,确保不同区域之间的交通无缝衔接。
什么是 API 网关?
在典型的微服务架构中,API 网关是一种指令和协议 管理工具,用于处理来自客户端的请求并决定将它们路由到哪些微服务以获取响应。
我们可以将其视为一种交通警察或总机,确保将请求传递到正确的位置,以便在获得响应的过程中得到正确处理。
对于微服务,必须存在对高效 API 网关的需求。主要的云供应商意识到 API 网关还可以为公司提供一种便捷的方式来启动和运行他们的云服务。
API 安全需要什么?
众所周知,虽然 API 网关能够为开发人员调用 API 提供了更明显的安全层,但是仍然有改进的空间。如果网关无法适应其资源,则漏洞管理将成为一个令人难以置信的挑战。
根据 Gartner 的说法,到 2022 年,API 滥用将从不常见的攻击向量转变为最常见的攻击向量,从而导致企业 Web 应用程序的数据泄露。
人们想要减轻面临的 API 安全威胁,需要正确的安全实施战略和程序。另外,为了保证 API 的安全还应该制定一个包含审计标准、变更控制系统、管理流程、访问控制措施等在内的管理计划。
为什么 API 网关的安全性还不够好?
我们应该把 API 网关和 API 安全区别开来,不能混为一谈。前者的访问控制功能,仅仅是 API 安全的一部分。更糟糕的是,开发人员确保应用程序正常运行并执行其设计的任务时,攻击者可以找到巧妙的方法将应用程序变成武器。正如 OWASP API 十大安全文件总结的一样,API 安全威胁同样包括许多伴随传统 Web 应用程序攻击的漏洞。
随着支持 API 的服务价值激增至数百万美元,黑客会努力尝试找到新的方式来获得不安全的密钥。主要的三个关键驱动因素如下。
1. 利用有效 API 令牌的复杂攻击可以成功针对应用程序业务逻辑和数据层漏洞。
2. 网络攻击从有效的 API 令牌中获取里程数,可以成功的攻击应用程序的业务逻辑或数据层,原因是它们的设计是针对允许使用 API 的漏洞。
3. API 网关的主要障碍是它只能监控端点,尽管如此,它仍然不能完全描述其提供的可供消费服务的完整 API 模式(RESTful API 和 API 交互方式)。
可能危及 API 安全的三个常见风险
处理 API 数量的方法乏善可陈
缺乏关于公共的、合作伙伴的、私人的和复合的 API 总数的信息,使安全团队无法理解一个 API 的真正暴露和风险。
黑客与开发人员
黑客通过使用工具,甚至更复杂的方法,侵入开发者层面的 API,之后可以利用细微的错误来映射 API,了解其结构,并找到代码本身的漏洞。
小企业 API 安全问题缺乏关注
相较于大型企业,小企业无法提供必要的措施来充分保障其数据,因此所拥有的安全性较低,面临的安全风险也会增多。
WAAP 应运而生
现阶段,面临的 API 安全威胁增加,防火墙和网关等传统安全工具无法始终为用户提供防止 API 攻击所需的防御,WAAP(网络应用程序和 API 保护)是必不可少的。
另外,考虑到传统的 Web 应用程序防火墙解决方案旨在防止基于每个请求的恶意活动。这意味着它们不会阻止所有形式的网络钓鱼,包括鱼叉式网络钓鱼攻击。当黑客利用受害者通过电子邮件提供的信息,直接在公司的环境中进行攻击时,WAAP 能够确保 API 被屏蔽,不会导致安全隐患。
WAAP 解决方案以四个关键功能为中心:
DDoS 保护
下一代网络应用防火墙(WAF)
机器人管理
API 保护
通过使用 WAAP 解决方案监控进入应用程序的所有互联网流量,企业可以检测恶意活动并确保只有受信任的客户才能在平台上进行合法交易。WAAP 解决方案利用完全托管和基于风险的应用程序安全方法来管理 Web 应用程序,能够防止网络威胁的异常活动。
注:本文内容收集自 helpnetsecurity.com,制作者对其完整性负责,但不对其真实性和有效性负责。
参考文章:
https://www.helpnetsecurity.com/2022/07/06/why-your-api-gateway-is-not-enough-for-api-security/