?有數(shù)據(jù)顯示，大多數(shù)企業(yè)在面對API攻擊時都沒做好準(zhǔn)備：

• API攻擊在過去681個月中增加了12%
• 95%的受訪者在過去一年內(nèi)均有經(jīng)歷過API安全事件
• 34%的受訪者表示缺乏API安全策略
• 62%的受訪者承認(rèn)，由于API安全問題，推遲了新應(yīng)用程序的上線

根據(jù)Google Cloud最近關(guān)于API安全的報告顯示，API安全威脅主要來自：

• API配置錯誤（40%）
• 過時的API、數(shù)據(jù)和組件（35%）
• 垃圾郵件、濫用、機(jī)器人（34%）

一、網(wǎng)絡(luò)安全：API是新端點

當(dāng)攻擊和違規(guī)行為變得越來越復(fù)雜，企業(yè)通過現(xiàn)有的安全和API管理工具,例如，Web應(yīng)用程序防火墻（WAF）和 API網(wǎng)關(guān)，來防范安全事件還是不夠的。

尤其是基于身份驗證和授權(quán)后，攻擊和違規(guī)行為在API數(shù)據(jù)有效負(fù)載中也就更加深刻。因此，當(dāng)企業(yè)在關(guān)注身份驗證和授權(quán)安全的同時，也需查看應(yīng)用程序和API數(shù)據(jù)有效負(fù)載層，方法之一就是將API安全性視為傳統(tǒng)端點安全的類比。

二、縱深防御（DiD）

縱深防御（DiD，Defense in Depth）是指在信息系統(tǒng)上實施多層安全控制/防護(hù)措施，可分為

1. 邊界防御（反惡意軟件簽名）
2. 入侵檢測/防御（IDS/IPS/EDR）

1、邊界防御

作為防護(hù)的第一線，邊界防御在端點安全方面，使用簽名和IP拒絕列表來防御已知攻擊方法。

在API安全方面，WAF給出了很好的功能標(biāo)準(zhǔn)：

• IP允許和拒絕列表
• WAF規(guī)則引擎
• 速率限制
• 故障注入/模糊

2、入侵檢測

安全可見是預(yù)防攻擊的關(guān)鍵要素，當(dāng)攻擊者突破邊界后，企業(yè)需要識別哪些文件/進(jìn)程/流量可能與惡意攻擊有關(guān)。

在端點軟件中，可以基于主機(jī)的IDS/IPS來檢查通過前門的所有請求，也可使用APT檢測和機(jī)器學(xué)習(xí)等檢測方法，直觀評估針對性攻擊。

實現(xiàn)行為分析的典型方法有：

• 蜜罐
• 端點檢測和響應(yīng)（EDR）
• 威脅情報（文件和進(jìn)程）

現(xiàn)今，API安全解決方案還可提供上述組合技術(shù)。例如，蜜罐中收集的項目可以發(fā)送到威脅情報源中，以供WAF或Web應(yīng)用程序和API保護(hù) （WAAP）使用。

二、當(dāng)API安全遇上零信任

由于API調(diào)用大多是臨時、跨云運(yùn)行、以多語言方式編寫、使用不同協(xié)議的，因此其創(chuàng)建了一個復(fù)雜的環(huán)境。一旦API配置錯誤，或面對未清除的邊界，企業(yè)需要的就不僅僅是縱深防御（DiD）。

零信任從本質(zhì)上為攻擊者設(shè)置障礙，使其無法在環(huán)境中橫向移動。基于“持續(xù)驗證，永不信任”的防護(hù)理念，零信任對所有終端、服務(wù)器、API、微服務(wù)、數(shù)據(jù)存儲和內(nèi)部服務(wù)進(jìn)行嚴(yán)格統(tǒng)一的驗證步驟，同時對來自內(nèi)部或外部的訪問請求，手機(jī)或PC，API調(diào)用或HTTP請求，普通員工或CEO，均采用“不信任”。

三、理想的零信任API安全

如果要在API中采用復(fù)雜的異構(gòu)環(huán)境，零信任API安全解決方案必須能夠部署為多種格式，支持不同的設(shè)置，如：

• Docker容器
• 獨立的反向代理
• Web/應(yīng)用程序服務(wù)器代理
• 嵌入Kubernetes入口控制器

在云和現(xiàn)有應(yīng)用程序架構(gòu)的支持下，自動化和可擴(kuò)展性將得到照顧。

1、不更改現(xiàn)有架構(gòu)

為了保持協(xié)調(diào)，“代理”（或微實施點）必須能夠部署在現(xiàn)有應(yīng)用程序之上，而無需更改架構(gòu)，同時確保最小延遲和最大控制。

2、本地處理

要真正采用零信任，安全處理應(yīng)在本地完成，因為：

• 敏感數(shù)據(jù)不會離開受保護(hù)的環(huán)境
• 無需與第三方共享證書和私鑰
• 不依賴第三方正常運(yùn)行時間來處理流量

3、業(yè)務(wù)流程

在理想情況下，需要可以注入到應(yīng)用程序環(huán)境中的解決方案，同時業(yè)務(wù)流程可以管理并進(jìn)行以下操作：

• 代理注冊/注銷
• 政策更新
• 配置更新
• 軟件更新
• 日志記錄
• 數(shù)據(jù)同步

總之，零信任API安全應(yīng)采用各種形式融入現(xiàn)今的應(yīng)用環(huán)境，且最好的解決方案應(yīng)該能夠提供業(yè)務(wù)流程和所有安全功能。

四、零信任安全防護(hù)系統(tǒng)的建設(shè)

零信任安全防護(hù)系統(tǒng)，是一款基于 “永不信任、持續(xù)驗證”安全理念，采用S I M技術(shù)的架構(gòu)體系，整合軟件定義邊界技術(shù)（SDP）、身份認(rèn)證及訪問管理控制技術(shù)（IAM）和微隔離技術(shù)（MSG）等技術(shù)的安全防護(hù)系統(tǒng)，確保政企業(yè)務(wù)訪問過程身份安全、設(shè)備安全、鏈路安全和應(yīng)用安全，為政企應(yīng)用提供統(tǒng)一、安全、高效的訪問入口，打造了"安全+可信+合規(guī)"三位一體政企網(wǎng)絡(luò)的縱深安全防御體系。

五、結(jié)語

API是當(dāng)下應(yīng)用程序的中樞神經(jīng)系統(tǒng)，它可以將關(guān)鍵信息和數(shù)據(jù)在應(yīng)用程序內(nèi)部，或應(yīng)用程序之間進(jìn)行移動。因此，API安全應(yīng)該被優(yōu)先考慮。

采用零信任框架將保護(hù)重點從單一措施轉(zhuǎn)移到不同核心（用戶、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)），可以幫助企業(yè)持續(xù)監(jiān)控并確保API訪問的每一部分都處于最低權(quán)限。?