数字经济时代,无论是互联网商业创新还是传统企业数字化转型,都在推动API数量与应用范围的爆发式增长。从只用于企业内部服务调用的1.0时代,到面向服务架构的2.0时代,再到如今成为开放平台和云原生微服务的3.0时代,API正在成为数字世界的基础设施,在企业的业务体系中发挥着越来越重要的作用。
福兮祸之所倚,API在给企业数字化转型带来巨大便利的同时,也带来了新的安全挑战。由于其开放的特性,API成为了网络攻击的重灾区。Facebook、LinkedIn、Twitter……都因API安全问题遭遇了超大型数据泄露事件。如何对API进行安全防护,应对越发猖獗的API攻击,已经成为企业不得不面对的问题。
OWASP API Security Top 10解读
API安全的重要性早就得到了网安业界的高度重视。OWASP在2019年首次提出了API Security Top 10,总结了API安全面临的十大风险,为企业的API安全防护提供了重要参考。随着API安全形势的不断变化、相关安全实践的不断加深,OWASP在2023年发布了API Security Top 10的内容更新。相比2019的旧版本,此次更新进一步强调了API攻击场景与WEB攻击的差异化,突出API授权管理、资产管理、业务风控等问题。
通过新旧版本的对比,我们能直观的看到API安全风险的变化趋势:
在2023年的API Security Top 10,认证和授权相关的风险占了4条,分别是对象级别授权失效BOLA(API 1)、身份认证失效(API 2)、对象属性级别授权失效(API 3)、功能级别授权失效(API 5)。API漏洞与攻击相关的风险占了3条,分别是资源消耗无限制(API 4)、服务端请求伪造SSRF(API 6)、缺少对自动化威胁的防护(API 8)。API资产管理与安全配置相关风险占了3条,分别是错误的安全配置(API 7)、存量资产管理不当(API 9)、不安全的第三方API(API 10)。
明确了API面连的安全风险,API安全防护的要点也就呼之欲出:
1.强化API访问鉴权,实现最小化授权
将访问鉴权的范围从“人”扩展为“人+机”,基于身份信息实现最小化的API访问授权,避免攻击者利用API授权漏洞,非法获取敏感数据或者完全掌控账户(API 1),伪造和盗用合法身份信息(API 2),越权访问信息和资源(API 3),非法获取API请求(API 5)。
2.监控API访问流量,实时发现并阻断攻击
实时监控API访问流量,及时发现异常访问行为,防范DoS攻击(API 4)、内部服务枚举和信息泄露(API 6),自动监测并防御恶意软件、蠕虫病毒、僵尸网络等自动化威胁(API8)。
3.统一管理API资产,规范API安全设置
建立纵览全局的API资产管理体系(API 9),监测API安全状态并修补API安全漏洞(API10),通过代理API实现API安全配置的统一管理(API 7),最终建立API的全生命周期管理机制。