如何建立有效的API安全策略(一)

626 阅读5分钟

对于任何一个API程序来说,建立安全策略,以确保在管理访问和保护系统免受攻击的同时,仍然参与数字生态系统,这是必不可少的。应用程序负责人必须设计、执行和治理有效的API安全策略,其中包括API网关的使用。

一、API安全的四个主要挑战

1.应用程序编程接口(API)因缺乏保护而遭受攻击并导致数据泄露的数量越来越多。

2.仅仅使用传统应用程序的安全解决方案来保护web API是不够的。

3.组织不断添加和使用新的API,意味着API安全的工作不是一次性的。

4.现代应用程序体系结构发展趋势(包括移动设备、微服务设计模式和本地/云混合使用)使得API安全性具备一定的复杂性,很少有单一的“网关”来实施保护。

二、API安全策略相关建议

负责应用策略和治理的应用安全负责人应该做到以下四点:

1.发现并评估组织使用的API,以确保它们被整个web应用程序安全体系结构覆盖。对于无法找到或API无法进行有效保护。

2.在API网关等基础设施中实现API安全之前,请先了解其功能。

3.采用持续优化的API安全方法,不断发现、监控和保护API。

4.使用分布式实施模型来保护整个体系结构中的API,而不单局限在某一点。

三、战略规划假设

预计到2022年,API滥用将成为导致企业web应用程序数据泄露最常见的攻击载体。

四、API安全策略介绍

对于公开web API的组织而言,他们的API安全策略必须均衡访问的易用性(确保API被采用)和控制(防止滥用或攻击)。就像银行抢劫犯攻击银行是因为“钱就在那里”一样,使用API来提供对应用程序和关键业务数据的访问自然会导致API安全事件,常见的是数据泄露。尤其是开放式网上银行API的增长,这类情况注定会变得更加糟糕。

与web应用防火墙和其他必要的应用安全基础设施结合使用的API网关,能够用来实现API安全。但是,纯粹基于边缘的web应用程序安全防御策略并不足以应对API带来的新挑战。内部API的广泛使用,再加上移动访问和对云API的日益依赖,从边缘防御是远远不够的,组织应该从整体考虑API安全性的问题。

本项研究描述的最佳实践解释了组织应该如何使用API安全性来实现其集成和数字业务计划。

五、API安全策略分析

1.发现并评估组织使用的API,以确保它们被整个web应用程序安全体系结构覆盖。

API是应用程序交付的一部分,与移动和浏览器接口的交付并行,同理,API安全也应该是整个应用程序安全体系结构的一部分。首先,确定组织中使用其产品的供应商的当前功能。这些可能包括web应用程序防火墙(WAF)、应用交付控制器(ADC)、API管理和内容交付网络(CDN)软件。调查这些供应商的短期产品路线图,看下他们是否具有或者正在添加API安全功能?如果没有,考虑从API安全性更强的供应商那里添加新的基础设施。

标准是确保API安全性与组织的整体应用程序安全体系结构协同工作的关键。特别是,要确保支持身份标准,如OAuth 2.0、SAML和OpenID Connect,用这些标准来与身份和访问管理解决方案进行交互,因此不需要新的身份库。

另外,还要考虑组织所使用的API,可能引起的安全问题,例如数据泄露。

2.让每个API安全利益相关者都参与进来

API安全的共同利益相关者如表1所示。在制定API安全策略时,必须考虑到所有这些利益相关者。

表1:API安全利益相关者

资料来源:Gartner(2017年12月)

如上表1所示, API产品经理是关键的API安全利益相关者,他们也是API程序成功的关键。Gartner在2018年的CIO调查中发现,在最优秀的数字执行者中,42%的人担任了这一角色,而在靠后的那些数字执行者中,这一比例仅为6%。API安全性使API产品经理能够与业务团队协作,一起确定API访问控制可以在哪些地方启用API分层访问级别。在某些情况下,这可能与API货币化有关,尽管大多数API不会直接货币化。API产品经理还必须确保,添加API安全措施不会使得API难以理解和使用。因此,他们充当着API安全决策的焦点。如表1所示,安全主管和防欺诈主管也应该与API产品经理一起参与进来。

(未完待续)