API的市场正在增长,与之相关的威胁形势也是如此。虽然API网关为API安全提供了各种核心功能,在API管理和API交付中扮演着至关重要的角色。然而,为了应对新出现的API风险需要各种更新且更复杂的技术,显然,这超出了传统API网关的范围。
在典型的微服务体系结构中,API网关是一个指令和协议管理工具,它处理来自客户端的请求,并决定将它们路由到哪些微服务以获得返回的响应。微服务对于API网关的效率有着更高的要求,而主流的云服务提供商也意识到API网关可以为企业提供更为便捷的方式去启动和运行他们的云服务。
当然,尽管API网关为开发人员提供了一个更可见的API调用的安全层,但仍有改进的空间。如果网关不能适应其资源,漏洞管理将成为一个难以置信的挑战。根据Gartner此前的预测,到2022年也就是今年,API滥用将从一种不常见的攻击方式变成最常见的攻击方式,从而导致企业网络应用的数据泄露。
总体而言,我们不能将API网关与API安全混为一谈,因为前者及其访问控制功能通常是API安全的一部分。开发人员确保应用程序正常工作,并按照他们的设计做他们想要做的事情,但攻击者才是那些找到聪明方法将应用程序变成武器的人。正如OWASP API十大安全文档所总结的那样,API安全威胁包括许多伴随传统Web应用程序攻击的漏洞。
可以看到,API网关的主要问题是在于它只能监控终端,采用包括身份验证、授权等方式来达到防护的目的,正如前文所说,它对于安全是有帮助的,但是在应对新的威胁时,单靠API网关的这些能力是远远不够的。
除了上述像API安全网关这类较为传统的安全产品难以应对当前的API风险之外,以下几个问题也是API安全难以做到位的原因:
1、对自己所拥有的API资产不清晰。随着API数量急剧增长,令企业除了自身的资产之外,还会缺乏对合作伙伴、第三方的API总量的了解,这就令安全团队无法了解到企业真实的API暴露和风险情况。
2、企业对API安全的重视程度不够。很多企业总是会抱着一种侥幸的心理——“那么多的企业,为什么中招的一定会是我?”,另外就是在相关安全建设的投入上忽视了API安全领域。
而在更为具体的挑战方面,则体现在API风险感知和API威胁阻断这两大难题上。
那么API安全到底应该如何做?业内的永安在线提出的“基于情报建立API安全基线”的思路值得借鉴。
首先,通过旁路流量分析,能够以持续动态的方式去梳理API资产,做到只要API一上线或开始服务就能够被快速梳理出来,结合外部情报对流量分析的能力能够不断更新API识别的引擎,还可以保证API梳理的准确性。
其次,透过外部威胁情报和黑灰产情报的补充,既可以有效帮助发现实时风险,也能确保识别的准确性。运用情报的能力,可以捕获到攻击的流量、攻击中使用的自动化工具、攻击中使用的资源,在经过永安在线情报分析系统分析后,就可以清晰的了解哪些API遭受了攻击。
总体来说,尽管API安全管理面临诸多的痛点、难点,但也并非缺乏对策。一方面要从自身内部的管理层面入手不断加强,建立和完善相关制度建设,并培养相关人员的安全意识和素养,尽可能地避免甚至杜绝人为制造API安全问题的可能性。另一方面,还需要借助专业力量的支持,专业的API安全管理产品、解决方案,以快速建立起真正有效的API安全防线。