云原生概念从2013年就已经提出了,最近几年该技术发展迅猛,标准到实践相对更加成熟。对企业来说云原生是一种既能够省成本,又能够提升效率,还能增强稳定性的一种架构,同时云原生还能够很好跟人工智能和大数据等上层技术、新应用相结合。但云原生技术带来其独到的优势之余,其本身架构的变革也引入了新的安全风险。
11月16日下午,由中国信息通信研究院主办,云原生安全实验室承办的“原”动力第8期—云原生 API 安全治理沙龙于线上成功举办。本次沙龙邀请到多位行业专家与业界顶尖厂商,共同探讨云原生 API 安全治理的防护思路、研究成果和发展趋势。
中国信通院云大所云计算部高级业务主管杜岚在沙龙活动中分享指出,根据信通院持续调研显示,安全性已经连续两年成为企业用户云原生化的最大顾虑,而在企业内部,云原生安全领域的能力建设刚刚起步,20%的用户云原生环境没有任何安全防护。“云原生的安全建设是原生化转型的必备项能力,目前,企业一侧更多是具备一些容器安全或者应用安全的单点防护能力。”
据介绍,信通院云大所在云原生安全领域做了很多相关工作,在政策支撑和产业研究方面,其全面支撑了国家部委的相关政策文件的制定,如《企业上云用云实施指南(2022)》,在云原生安全产业研究方面,包括19年发布的《云原生技术实践白皮书》,20年发布的《云原生产业发展白皮书》,21年发布的《云原生架构安全白皮书》和《中国云原生用户调查报告》。在今年,机构推进了《云原生安全趋势洞察》和《中国云原生安全用户调查报告》。
在平台搭建和生态建设方面,信通院在2020年成立了云原生安全工作组,在今年6月份,机构联合清华大学和腾讯云发起成立了云原生安全实验室,实验室汇聚了众多行业顶尖专家学者,实验室成员单位已近40家,共同开展云原生安全标准制定,技术合作、平台工具建设、产业研究,行业交流等等工作。
在标准和评估体系建设方面,信通院从19年开始牵头制定了包括国内首个容器安全的标准制定,至今已经建立了相对完善的云原生安全标准评估体系,包括《云原生能力成熟度 第3部分:架构安全》、《基于容器的平台安全能力要求》、《云原生安全能力要求 第1部分:API 安全治理》、《云原生应用保护平台(CNAPP)能力要求》,以及推进当中的《云原生托管服务(MSS)能力要求》等云原生安全标准。
《云原生安全能力要求 第1部:API 安全治理》标准解读
对应沙龙活动内容,杜岚重点分享了《云原生安全能力要求 第1部:API 安全治理》标准制定的相关情况,这项标准在2021年12月9日中国信息通信标准化协会(CCSA)TC1 WG5的第19次工作组会议上成功立项,目前经过五轮研讨已形成标准征求意见稿。
另据了解,参与该标准编制的企业包括阿里云、腾讯云、华为云、瑞数信息、星阑科技、中移信息、用友网络、新华三、小佑科技、青藤云、天融信、悬镜安全、百度、中移云能、安易科技等(排名不分先后)。
杜岚指出,云原生化之后,从基础架构层、到微服务业务层都会有很多标准或非标准的 API,即充当外部与应用的访问入口,也充当应用内部服务间的访问入口。这项标准的制定背景即对应了云原生化的 API 数量的急剧增加、调用频繁复杂、攻击面扩大等风险。标准将适用于指导用云企业构建 API 安全治理能力,适用于规范相关云平台、安全产品及解决方案的能力水平与服务质量。
《云原生安全能力要求 第1部:API 安全治理》划分了六大标准框架,分为 API 资产管理、API 风险评估、API 权限控制、API 安全监测、API 安全响应以及审计与溯源。
1、API 资产管理:API 资产可视可管是云应用 API 安全治理的基础。API 资产管理能力设计应能够自动化覆盖存量及增量业务的 API,同时能够从不同视角对资产进行管理。
其中 API 资产管理能力分为三个子项能力,分别是 API 资产发现、敏感数据识别、统一管理。三大章节所要解决的问题核心是 API 资产的多源发现和统一可视化管理,并且强调了应以数据角度对 API 进行分类管理,避免潜在的数据泄露事件发生。
2、API 风险评估:应根据API攻击面及业务需要建立不同维度的 API 威胁识别、风险评估能力,在 API 资产被攻击之前主动进行安全检测,收敛攻击面、降低 API 整体防护成本。包含风险的检测、评估以及修复(建议)等。
API 风险评估同样分为三个子项能力,分别是脆弱性评估、业务逻辑漏洞检测、应用漏洞检测,对应了 API 设计或配置不当等原因产生的安全风险、API 因业务逻辑设计不当产生的安全风险、及中间件 API 漏洞、Web API 漏洞、业务 API 代码漏洞等风险。
3、API 权限控制:面向云原生平台及应用 API 访问的认证、鉴权和安全控制。
权限管理、访问控制、安全通信是 API 权限控制的三个子项能力,权限管理对应 API 细粒度的访问权限设置,包括资源操作的权限,面向用户的权限和面向服务的权限,以及对权限全生命周期的管理和一些权限策略的建议生成。访问控制对应通过多种认证和鉴权的方式,去防止 API 资源不被恶意篡改和滥用。安全通信强调 API 通信数据的机密性和完整性,如利用通信加密方式。
4、API 安全监测:对 API 交互过程中的运行状态、交互行为和数据流进行监测,发现 API 安全攻击和异常行为。
API运行状态监测、安全攻击检测、数据流转监测、异常行为识别是 API 安全监测的四个子项能力,API 运行状态监测包括 API 响应时长、访问状态、异常流量和接口访问合规性等。安全攻击检测能力要求对 API 请示流量进行识别,检测流量中的恶意代码,识别针对 API 接口的安全攻击行为。数据流转监测能力需要对 API 流量交互中的数据流转进行监测,从而识别数据流转中的敏感信息。异常行为识别方面要求对 API 接口的访问行为进行分析、识别,利用行为模型学习构建检测异常。
5、API 安全响应&审计与溯源:发现攻击和异常后的响应能力,以及事后的审计溯源能力。
在 API 安全响应方面,标准要求建立精细的响应策略和丰富的响应手段,同时强调对敏感数据的阻断脱敏、分级分类管制、以及与第三方数据安全产品之间的开放性与可扩展性。溯源审计和溯源方面,标准要求首先要面向 API 日志的采集与审计分析,同时还有安全事件的工具溯源分析。由于 API 独立的攻击溯源能力是有限的,所以标准更多强调的是和其他威胁情报或安全产品的关联分析和联合态势处置等。
据悉,信通院后续会持续完善云原生安全标准评估体系。
云原生环境 API 安全治理实践分享 应深入业务不断进行优化策略调整
瑞数信息技术总监吴剑刚在沙龙活动分享《云原生环境 API 安全治理实践》时指出,随着数据中台、微服务、云原生等技术的深入应用,大量 API 被广泛应用在数字生活的每个领域,伴随着业务接入渠道的丰富,API 的安全问题必须受到企业重视。
吴剑刚分享列举了一系列国内的因为 API 管控不当导致的数据泄露事件,并强调 API 所带来的安全隐患是需要全行业共同面对的多维度的安全风险,以卫生和健康行业为例,因为疫情的原因 API 的访问量就增涨了900%。
总结云原生环境下 API 安全面临的挑战时吴剑刚表示,云原生架构的特点是资产增长快,且访问不经过边界设备,这带来了防护方式的不同。为应对云原生环境下 API 安全治理挑战,瑞数信息构建了一整套深入云原生环境下的全新防护思路,从感知、发现、监测到保护的闭环能力为用户构建为云原生 API 安全能力。
在活动现场,吴剑刚分享了瑞数信息云原生环境下 API 安全解决方案的诸多技术细节点,包括云原生环境流量采集的具体实践、云原生环境 API 监测和管控于一体的防护架构的实现方式等,并对一些关键点如 API 接口资产管理、API 风险检测、敏感数据管控、敏感数据映射、API 访问行为管控等具体技术细节进行了介绍。
在客户实践方面,某客户在云原生化改造之后上线了瑞数 API 安全管控平台,平台部署上线共实现了自动发现和确认 API 资产,并实现了基于业务的分组安全治理。在平台运行过程中,平台可以及时了解当前 API 在合规要求、应用安全等多方面存在的缺陷,明文传输敏感数据等等,以及针对 API 接口的攻击等多维度 API 安全治理,便于后续有针对性的完善 API 安全机制和实时防护。
吴剑刚总结指出,资产梳理是云原生 API 安全治理的基础工作,在安全监测识别方面,缺陷的风险识别和攻击识别缺一不可,基于云原生构架的独特性,更建议采用多维度、多技术提供更强的安全包容性,更加重要的是 API 安全要结合业务不断进行优化策略调整,这样才能够真正让用户用起来。
以一线安全厂商角度观察时吴剑刚指出,现阶段针对 API 的攻击76%的攻击都是以爬虫攻击为主,针对金融服务的撞库攻击75%以 API 为目标,80%的数据泄露全是于来自于外部的数据泄露。所以 API 安全治理的核心主要解决的实际上就是 API 安全合规问题和 API 安全风险问题。
中国信通院云大所云计算部主任马飞于沙龙活动中发表致辞,除瑞数信息之外,来自腾讯安全、绿盟科技、星阑科技的安全专家均分享了云原生 API 安全思考与实践。