五、API安全策略分析
3、瞭解API安全性的相關功能
API網關是提供API安全性的強有力的工具,因爲它能夠支持多種功能。但是,衆多的信息也會讓人一時不知所措,讓我們慢慢梳理。如圖1展示了API安全策略中的多個“構造功能模塊”,儘管許多構造模塊的功能是不言自明的,但在某些場景下,他們在API安全性方面具有特定的用途。例如,在使用API密鑰的客戶端身份驗證的場景中可以執行簽名驗證,簽名通過客戶端調用REST API來創建)以顯示對該API密鑰的擁有權。
爲了避免被API安全產品的衆多功能所淹沒,以至於購買了一個功能最多的產品,而不是您真正需要的產品,我們建議您在這種情況下,應該採用功能方法來實現API安全。術語“策略”通常用於描述API安全性中涉及的工作流程。將所需的API安全策略按照步驟圖列出來,然後使用圖1中的一些API安全構造功能模塊,然後,將產品功能映射到當前基礎設施中,甚至可以將其用作概念驗證的輸入,(例如,通過詢問供應商如何使用其產品來配置此API安全策略。)
下圖2展示的是此類API安全策略的示例。注意,該策略用於攻擊保護以及身份驗證。它不僅對API的請求起作用,同時也對響應起作用。在將敏感數據返回給客戶端之前,對其進行標記,然後驗證響應來確保它是安全的。虛線表示在何處使用到其他產品的鏈接,例如用於身份和訪問管理基礎設施的鏈接。
上圖2所示的安全策略通常使用API網關來實現,它通常作爲完整生命週期API管理解決方案的一部分,將API網關與API開發者門戶結合起來。當然,您也可以利用應用安全基礎架構中的其他產品來實現這些功能。下圖3在圖2安全策略基礎上,增加了產品類別。
應用交付控制器(ADC)已經在許多組織中用於傳輸層安全性(TLS)終止。除此之外,它還可以用於API的傳輸安全,與訪問管理的集成可能涉及到訪問管理服務或軟件的連接。例如,含有身份識別服務(IDaaS)(例如Okta,它也提供API訪問控制),或來自訪問管理軟件供應商ForgeRock和Ping Identity,兩者均提供API訪問控制。內容檢查可以使用web應用程序防火牆WAF,例如Imperva。API的WAF功能也可以包含在應用程序控制(ADC)或內容分發網絡(CDN)解決方案中(如Akamai,它也提供API保護)。
自動程序bot的攻擊對於API來說尤其需要關注,因爲從設計上講,API是以編程方式調用的。因此,區分“好的”API調用和“壞的”API調用是很重要的,後者可能試圖獲取數據。自動程序bot的攻擊緩解對策可能由已經爲web流量中執行自動程序bot的攻擊緩解的解決方案(例如,Distil Networks或ShieldSquare)或通過包含bot攻擊緩解對策的API管理解決方案(例如Google的Apigee Sense)來提供。
通過使用功能方法,您可能會發現API網關就足以交付所需的API安全策略。但是,如果需要API網關沒有提供的功能(例如高級自動程序bot的攻擊緩解對策),那麼可以由基礎設施中其他產品的功能來提供。
(未完待續)
未經同意,本文禁止轉載或摘編。