在當(dāng)今數(shù)字化時(shí)代，API 已經(jīng)成為企業(yè)構(gòu)建創(chuàng)新產(chǎn)品和服務(wù)、提升用戶體驗(yàn)的關(guān)鍵基石。作為連接不同系統(tǒng)和應(yīng)用程序的"粘合劑"，API 允許組織無縫集成第三方功能，從而顯著提高業(yè)務(wù)靈活性和敏捷性。然而，第三方 API 也為網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)和風(fēng)險(xiǎn)。一旦被攻破，它們就可能成為數(shù)據(jù)泄露、業(yè)務(wù)中斷和聲譽(yù)損失的突破口。因此，有效管理和保護(hù)第三方 API 對于確保企業(yè)的網(wǎng)絡(luò)安全態(tài)勢至關(guān)重要。

采用保護(hù)第三方 API 的9個(gè)最佳實(shí)踐

在當(dāng)今快速互聯(lián)的數(shù)字環(huán)境中，API已經(jīng)成為增強(qiáng)功能和豐富用戶體驗(yàn)的基礎(chǔ)。API安全通常涉及第三方API，而非僅僅是自身API安全。

Gartner的最新調(diào)查顯示，71%的IT領(lǐng)導(dǎo)者表示在其組織中使用第三方應(yīng)用程序編程接口(API)。OWASP API 安全將"不安全地消費(fèi) API"列為前 10 大風(fēng)險(xiǎn)，也是在強(qiáng)調(diào)第三方API風(fēng)險(xiǎn)。

第三方API帶來了新的風(fēng)險(xiǎn)，成為新的潛在安全威脅的入口，導(dǎo)致數(shù)據(jù)泄露、業(yè)務(wù)中斷與財(cái)產(chǎn)損失、失去客戶信任、監(jiān)管與合規(guī)問題等。而且，與內(nèi)部開發(fā)和維護(hù)、安全標(biāo)準(zhǔn)可控的第一方 API 不同，第三方 API 由外部供應(yīng)商擁有和管理，因此其安全防護(hù)也更加復(fù)雜。

為了有效保護(hù)第三方 API，安全牛認(rèn)為，組織應(yīng)該采用以下9個(gè)保護(hù)第三方 API 的最佳實(shí)踐：

1. 強(qiáng)大的身份驗(yàn)證協(xié)議：利用 OAuth 2.0 、OpenID Connect 或SAML 進(jìn)行安全身份驗(yàn)證。在可能的情況下，實(shí)施多因素身份驗(yàn)證(MFA)以增強(qiáng)安全性。
2. 對數(shù)據(jù)進(jìn)行加密：確保在應(yīng)用程序和第三方 API 之間傳輸?shù)乃袛?shù)據(jù)都使用 SSL/TLS 協(xié)議進(jìn)行加密。使用強(qiáng)大的算法(如 AES)對靜態(tài)敏感數(shù)據(jù)進(jìn)行加密。
3. 對輸入進(jìn)行驗(yàn)證：實(shí)施嚴(yán)格的輸入驗(yàn)證檢查，以凈化和驗(yàn)證傳入和傳出的數(shù)據(jù)。這有助于防止注入攻擊(如 SQL 注入)。
4. 速率限制和節(jié)流：為 API 調(diào)用設(shè)置閾值，以防止濫用并緩解拒絕服務(wù)(DoS)攻擊。這限制了單個(gè)來源在指定時(shí)間內(nèi)的請求數(shù)量。
5. 監(jiān)控和日志記錄：監(jiān)控所有 API 交互,以發(fā)現(xiàn)異?；顒?。通過建立實(shí)時(shí)監(jiān)控和日志記錄，企業(yè)可以檢測并響應(yīng)可疑行為。還可使用自動警報(bào)系統(tǒng)通知管理員潛在威脅，并確保定期審查日志。
6. API 網(wǎng)關(guān)實(shí)施：使用 API 網(wǎng)關(guān)作為中介層來管理訪問、實(shí)施安全策略,并在需要時(shí)應(yīng)用速率限制，旨在為 API 交互提供了額外的控制層。
7. 定期安全審計(jì)和修補(bǔ)：及時(shí)更新 API 提供商提供的最新安全補(bǔ)丁，并定期審計(jì) API 集成以發(fā)現(xiàn)漏洞。
8. 確保 API 開發(fā)和測試階段的安全性。安全性應(yīng)該在 API 開發(fā)和測試階段就得到融入。通過在 API 開發(fā)期間執(zhí)行安全測試，構(gòu)建這些 API 的第三方組織可以在上線前發(fā)現(xiàn)漏洞，從而確保部署時(shí)具有更強(qiáng)的保護(hù)。
9. 確保員工(尤其是從事開發(fā)和 IT 工作的員工)了解 API 安全的重要性。定期培訓(xùn)和提高意識可以幫助防止安全漏洞,并提高整體 API 保護(hù)水平。

因場景而異打造量身定制解決方案 

Gartner在最新的研究報(bào)告“根據(jù) 3種特定使用場景調(diào)整您的第三方 API 安全策略”中，強(qiáng)調(diào)了確保第三方 API 流量安全的關(guān)鍵挑戰(zhàn)，并指出針對發(fā)現(xiàn)并管理向第三方 API 的出站數(shù)據(jù)流、防范來自第三方 API 的入站流量帶來的威脅，以及管理和保護(hù) SaaS 到SaaS 的API 互連三種不用應(yīng)用場景，應(yīng)結(jié)合實(shí)際情況實(shí)施量身定制的最佳實(shí)踐。

對此，Gartner 副總裁分析師 Dionisio Zumer指出，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者不應(yīng)試圖用一種技術(shù)方法解決所有問題，而應(yīng)根據(jù)具體使用場景調(diào)整方法。

應(yīng)用場景1:發(fā)現(xiàn)并管理向第三方API的出站數(shù)據(jù)流

出站 API 連接將數(shù)據(jù)發(fā)送到第三方服務(wù)(如支付網(wǎng)關(guān))，存在數(shù)據(jù)外泄的重大風(fēng)險(xiǎn)，而且由于對外部 API 的控制有限，傳統(tǒng)的安全措施往往無法奏效。

敏感信息，如客戶或支付數(shù)據(jù)可能會被無意中暴露。第三方API也可能會危及數(shù)據(jù)或客戶數(shù)據(jù)的安全。例如，攻擊者可能會利用存在漏洞的支付API竊取客戶的支付數(shù)據(jù)。此外，注入惡意負(fù)載也可能破壞業(yè)務(wù)合作伙伴的數(shù)據(jù)庫。

企業(yè)通過API向第三方發(fā)送數(shù)據(jù)，通常是從自主開發(fā)的應(yīng)用程序中調(diào)用它們。例如在電子商務(wù)場景中，提供API的服務(wù)可能是支付網(wǎng)關(guān)，出站流量將包含用于處理支付的支付數(shù)據(jù)。從應(yīng)用程序內(nèi)部調(diào)用API的方式有多種，如直接集成、使用軟件開發(fā)工具包或Webhook。

針對這一場景，Gartner 建議，要全面監(jiān)控流量、傳輸安全(TLS)以及與 DLP 解決方案集成，以檢查和控制出站 API 調(diào)用。這些措施有助于檢測數(shù)據(jù)泄露，并通過對出站流量實(shí)施安全策略來確保合規(guī)性。

安全領(lǐng)導(dǎo)者還應(yīng)與負(fù)責(zé)采購、供應(yīng)商管理(SPVM)和第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)的團(tuán)隊(duì)協(xié)作，確保對SaaS應(yīng)用程序進(jìn)行審查，并符合組織政策。

Zumer認(rèn)為，安全領(lǐng)導(dǎo)者還必須通過監(jiān)控這些API交換中的出站流量來識別敏感數(shù)據(jù)外泄。這可以通過實(shí)施數(shù)據(jù)丟失防護(hù)(DLP)功能來實(shí)現(xiàn)，其中可能會應(yīng)用到不同的工具，安全服務(wù)邊緣(SSE)、DLP和API保護(hù)工具都具有一定的DLP功能?？己艘蛩匕ǎ?/span>

• 工具是否能夠?qū)鬏斨?"即時(shí)")的數(shù)據(jù)進(jìn)行分類，或者是否能夠執(zhí)行補(bǔ)救措施，如阻止交換、匿名化或加密數(shù)據(jù)；
• 監(jiān)控點(diǎn)也可能很重要，因?yàn)橛行?DLP 工具可能已經(jīng)部署在能夠訪問未加密數(shù)據(jù)流量的網(wǎng)絡(luò)位置上；
• 安全領(lǐng)導(dǎo)者對工具的配置方式。如果將其設(shè)置為一個(gè)節(jié)流點(diǎn)，它可能會比僅處理特定類型流量或入站流量的工具更好；
• 內(nèi)部運(yùn)營和管理因素。組織內(nèi)部的一些運(yùn)營和管理方面的考慮會影響到選擇哪種 DLP 工具用于監(jiān)控 API 數(shù)據(jù)交換。

最后，安全領(lǐng)導(dǎo)者可以使用API提供商提供的機(jī)制，對API客戶端進(jìn)行適當(dāng)?shù)纳矸蒡?yàn)證和授權(quán)。至少應(yīng)優(yōu)先使用令牌而非API密鑰進(jìn)行授權(quán)。評估在特定使用場景中，不透明且可證明所有權(quán)的令牌(或至少經(jīng)常輪換的訪問憑證)和證書鎖定是否能有效緩解令牌泄露和攔截風(fēng)險(xiǎn)。但也要注意它們可能帶來的技術(shù)負(fù)擔(dān)，以及對流量檢查的影響。

應(yīng)用場景2:防范來自第三方 API 的入站流量帶來的威脅

在此使用場景中,組織從第三方 API(如從 SaaS 提供商或業(yè)務(wù)合作伙伴處獲取信息)消費(fèi)數(shù)據(jù)。主要風(fēng)險(xiǎn)在于從 API 接收潛在有害輸入，包括惡意負(fù)載或損壞的數(shù)據(jù)。這些威脅可能導(dǎo)致注入攻擊、數(shù)據(jù)泄露或損害后端系統(tǒng)的完整性。此外,如果連接不安全，從第三方 API 接收的敏感數(shù)據(jù)可能會被攔截，導(dǎo)致信息泄露。

針對這一場景，Gartner 建議實(shí)施強(qiáng)身份驗(yàn)證(如基于令牌的授權(quán))、內(nèi)容檢查和安全傳輸(如 TLS)，并考慮反向 API 網(wǎng)關(guān)來管理令牌、檢查流量并為入站 API 連接提供實(shí)時(shí)監(jiān)控。

Zumer強(qiáng)調(diào)，安全領(lǐng)導(dǎo)者應(yīng)執(zhí)行輸入驗(yàn)證。要求開發(fā)人員在接收任何輸入時(shí)(包括來自第三方API的輸入)添加輸入驗(yàn)證控制。這將防止來自惡意輸入的大量攻擊，如SQL注入攻擊。應(yīng)用程序安全測試(AST)工具可以幫助自動化這些檢查。

使用Web應(yīng)用程序和API保護(hù)工具的Web應(yīng)用程序防火墻功能，在線路上添加針對注入攻擊和其他類型惡意輸入的應(yīng)急措施。

最后，通過與一種或多種反病毒、沙箱或內(nèi)容消毒和重構(gòu)解決方案集成應(yīng)用程序(通常通過互聯(lián)網(wǎng)內(nèi)容適配協(xié)議或API)，對輸入進(jìn)行檢測。

 應(yīng)用場景3:管理和保護(hù) SaaS 到SaaS 的API 互連

在此場景中，多個(gè) SaaS 應(yīng)用程序通過 API 直接經(jīng)常交換敏感的企業(yè)數(shù)據(jù)。當(dāng)用戶創(chuàng)建未經(jīng)批準(zhǔn)的連接(例如通過自動化工具如 Zapier)繞過 IT 監(jiān)督時(shí)，就會帶來重大風(fēng)險(xiǎn)：導(dǎo)致了可見度和控制力的缺失，增加了敏感數(shù)據(jù)暴露和合規(guī)性問題的可能性。此外，組織常常難以跟蹤哪些服務(wù)在消費(fèi)哪些 API，從而在安全態(tài)勢上產(chǎn)生盲點(diǎn)。

Zumer補(bǔ)充，當(dāng)授權(quán)的SaaS應(yīng)用程序用戶通過API將其連接到未經(jīng)授權(quán)的SaaS應(yīng)用程序時(shí)，挑戰(zhàn)就更大了。許多組織都難以確定 SaaS 應(yīng)用程序與未授權(quán)的 SaaS 應(yīng)用程序之間通過 API 建立連接的可能性，更難以監(jiān)控和控制通過這種連接進(jìn)行的任何數(shù)據(jù)傳輸。其次，SaaS 應(yīng)用程序之間的 API 連接是在 SaaS 提供商的環(huán)境中進(jìn)行的，組織只能依賴 SaaS 提供商公開的有限信息，無法全面了解連接細(xì)節(jié)，更無法在連接線路上部署自己的安全控制措施。這種情況的主要風(fēng)險(xiǎn)是SaaS應(yīng)用程序可能通過API暴露敏感的企業(yè)數(shù)據(jù)，而且該數(shù)據(jù)可能會被傳輸?shù)桨踩块T尚未審查的未經(jīng)批準(zhǔn)甚至未知的位置。

對此場景，Gartner 建議實(shí)施能夠監(jiān)控 SaaS 互連、執(zhí)行治理政策并持續(xù)盤點(diǎn) API 連接的工具。安全服務(wù)邊緣(SSE)、 SaaS 安全態(tài)勢管理(SSPM)或反向 API 網(wǎng)關(guān)等解決方案可以幫助提供對 SaaS 到SaaS 集成所需的可見性和控制力。

Zumer建議，安全領(lǐng)導(dǎo)者還應(yīng)通過普查、發(fā)布政策和檢查流量來發(fā)現(xiàn)所使用的SaaS應(yīng)用程序；通過查詢所使用的SaaS應(yīng)用程序(如果支持的話)來發(fā)現(xiàn)惡意SaaS訪問令牌，為用戶制定并推廣關(guān)于通過OAuth連接SaaS應(yīng)用程序的政策。

對于前面的使用場景，安全團(tuán)隊(duì)?wèi)?yīng)該與負(fù)責(zé)SPVM和第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)的團(tuán)隊(duì)協(xié)作，確保對SaaS應(yīng)用程序進(jìn)行審查并符合組織的政策，如數(shù)據(jù)安全和第三方共享政策。此外，要對SaaS到SaaS互聯(lián)進(jìn)行清點(diǎn)。自動化工具(如SSPM產(chǎn)品)可以幫助確保這是一個(gè)持續(xù)的過程。

確保第三方 API 流量安全是一個(gè)復(fù)雜的挑戰(zhàn)，需要采取量身定制的、積極主動的方法。無論是管理出站數(shù)據(jù)流、檢查入站流量還是治理 SaaS 到SaaS 互聯(lián)，組織都需要一種能夠提供深度可見性和精確控制的解決方案。

在當(dāng)今企業(yè)環(huán)境中，第三方 API 的廣泛使用帶來了前所未有的安全挑戰(zhàn)。第三方 API 安全管理是一項(xiàng)系統(tǒng)工程，需要安全團(tuán)隊(duì)深入了解業(yè)務(wù)需求，并與整個(gè)組織的流程和工具相結(jié)合，才能真正發(fā)揮效用。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者只有采取全方位、因場景而異的策略，才能最大限度降低第三方 API 帶來的風(fēng)險(xiǎn)，實(shí)現(xiàn)安全可控。