對於任何一個API程序來說,建立安全策略,以確保在管理訪問和保護系統免受攻擊的同時,仍然參與數字生態系統,這是必不可少的。應用程序負責人必須設計、執行和治理有效的API安全策略,其中包括API網關的使用。
一、API安全的四個主要挑戰
1.應用程序編程接口(API)因缺乏保護而遭受攻擊並導致數據泄露的數量越來越多。
2.僅僅使用傳統應用程序的安全解決方案來保護web API是不夠的。
3.組織不斷添加和使用新的API,意味着API安全的工作不是一次性的。
4.現代應用程序體系結構發展趨勢(包括移動設備、微服務設計模式和本地/雲混合使用)使得API安全性具備一定的複雜性,很少有單一的“網關”來實施保護。
二、API安全策略相關建議
負責應用策略和治理的應用安全負責人應該做到以下四點:
1.發現並評估組織使用的API,以確保它們被整個web應用程序安全體系結構覆蓋。對於無法找到或API無法進行有效保護。
2.在API網關等基礎設施中實現API安全之前,請先了解其功能。
3.採用持續優化的API安全方法,不斷髮現、監控和保護API。
4.使用分佈式實施模型來保護整個體系結構中的API,而不單侷限在某一點。
三、戰略規劃假設
預計到2022年,API濫用將成爲導致企業web應用程序數據泄露最常見的攻擊載體。
四、API安全策略介紹
對於公開web API的組織而言,他們的API安全策略必須均衡訪問的易用性(確保API被採用)和控制(防止濫用或攻擊)。就像銀行搶劫犯攻擊銀行是因爲“錢就在那裏”一樣,使用API來提供對應用程序和關鍵業務數據的訪問自然會導致API安全事件,常見的是數據泄露。尤其是開放式網上銀行API的增長,這類情況註定會變得更加糟糕。
與web應用防火牆和其他必要的應用安全基礎設施結合使用的API網關,能夠用來實現API安全。但是,純粹基於邊緣的web應用程序安全防禦策略並不足以應對API帶來的新挑戰。內部API的廣泛使用,再加上移動訪問和對雲API的日益依賴,從邊緣防禦是遠遠不夠的,組織應該從整體考慮API安全性的問題。
本項研究描述的最佳實踐解釋了組織應該如何使用API安全性來實現其集成和數字業務計劃。
五、API安全策略分析
1.發現並評估組織使用的API,以確保它們被整個web應用程序安全體系結構覆蓋。
API是應用程序交付的一部分,與移動和瀏覽器接口的交付並行,同理,API安全也應該是整個應用程序安全體系結構的一部分。首先,確定組織中使用其產品的供應商的當前功能。這些可能包括web應用程序防火牆(WAF)、應用交付控制器(ADC)、API管理和內容交付網絡(CDN)軟件。調查這些供應商的短期產品路線圖,看下他們是否具有或者正在添加API安全功能?如果沒有,考慮從API安全性更強的供應商那裏添加新的基礎設施。
標準是確保API安全性與組織的整體應用程序安全體系結構協同工作的關鍵。特別是,要確保支持身份標準,如OAuth 2.0、SAML和OpenID Connect,用這些標準來與身份和訪問管理解決方案進行交互,因此不需要新的身份庫。
另外,還要考慮組織所使用的API,可能引起的安全問題,例如數據泄露。
2.讓每個API安全利益相關者都參與進來
API安全的共同利益相關者如表1所示。在制定API安全策略時,必須考慮到所有這些利益相關者。
表1:API安全利益相關者
資料來源:Gartner(2017年12月)
如上表1所示, API產品經理是關鍵的API安全利益相關者,他們也是API程序成功的關鍵。Gartner在2018年的CIO調查中發現,在最優秀的數字執行者中,42%的人擔任了這一角色,而在靠後的那些數字執行者中,這一比例僅爲6%。API安全性使API產品經理能夠與業務團隊協作,一起確定API訪問控制可以在哪些地方啓用API分層訪問級別。在某些情況下,這可能與API貨幣化有關,儘管大多數API不會直接貨幣化。API產品經理還必須確保,添加API安全措施不會使得API難以理解和使用。因此,他們充當着API安全決策的焦點。如表1所示,安全主管和防欺詐主管也應該與API產品經理一起參與進來。
(未完待續)