云原生和微服务架构等技术的流行让API受到越来越大的重视。那么当应用程序开始上云,各项需求都可以通过云服务满足的情况下,应用程序,尤其基于云端API的应用程序的安全问题该如何解决?
延伸阅读,点击链接了解 Akamai API Security
表现层状态转移(REST,Representational State Transfer)这种软件架构风格最早可追溯到计算机科学家Roy Fielding于2000年发布的一篇博士论文。在此后多年里,REST API(有时也称为RESTful API)逐渐发展成为一种非常流行的API架构模型,多用于Web和移动应用,以及企业对企业应用和企业内部系统。
虽然很多实现也用了其他API方法(如SOAP、GraphQL和gRPC),但REST API因为易于实现而获得了最广泛的使用。REST API设计非常便于现代前端框架使用,因此成为Web应用、移动应用以及许多内部和企业间API实现的热门选择。
REST API安全性五大原则
尽管REST API能以高度安全和弹性的方式实施,但有些基本的API安全标准对任何实施都至关重要。
在REST API设计中构建安全性的五大原则是:
- 始终使用TLS加密
- 实施完善且可扩展的身份验证和授权模型
- 不要在URL中包含敏感信息
- 严格定义允许的RESTful API请求和响应
- 实施持续的API发现功能
始终使用TLS加密
与其他类型的敏感HTTP流量一样,对RESTful API使用TLS可以确保API消费者与API端点间的所有通信都经过加密。这对于REST API安全和Web应用程序安全同样重要,因为由此产生的HTTP流量包括敏感的身份验证详细信息,如密码、API密钥或令牌。
实施完善且可扩展的身份验证和授权模型
可以使用许多不同技术来管理对REST API的访问。最常用的技术是API密钥和安全令牌。但密钥和令牌的管理可能是一种相当复杂的工作。
这往往会导致无意中出现REST API安全漏洞。通过与兼容OAuth 2.0的身份管理提供商集成来进行身份验证和发放访问令牌,可降低这种风险。集中式API网关也可用于规范和保护REST API安全方法。
不要在URL中包含敏感信息
在URL中包含敏感信息(包括用户凭据、密钥或令牌),这是一种常见的REST API设计缺陷。即便在使用TLS的情况下,攻击者也很容易发现这些信息。API请求数据路径上的各种服务器和网络设备也会经常记录URL,如果URL中包含敏感信息,就会导致进一步的数据泄漏。
严格定义允许的RESTful API请求和响应
我们需要假定攻击者会试图以恶意或无意的方式使用API。因此,切勿默认信任RESTful API请求。要采取的最重要步骤之一是:验证任何参数或对象的格式、长度和类型等属性。
我们还应该严格管理REST API可提供的响应类型。例如,响应应仅限于明确允许的内容类型,如GET、PUT和POST。
实施持续的API发现功能
即便是遵守REST API安全最佳实践的企业,也可能会被正常流程之外实施的影子API或尚未退役的遗留基础设施中被遗忘的僵尸API打个措手不及。因此,实施持续的企业级API发现功能至关重要。
保障为所有API维持完整清单的最佳方法是从所有可用的API活动信息源收集数据,这些信息源包括:
- API网关
- 内容交付网络
- 云提供商日志
- 日志管理系统
- 编排工具
分析这些数据以获取API活动的证据,可确保安全团队了解整个企业使用的所有API。发现任何意外的REST API后,都可以通过应用适当的REST API最佳实践来停止使用,或将其纳入正式清单。
四大高级REST API安全最佳实践
在REST API设计中实施一套基础安全标准是必不可少的第一步,但仅靠这些步骤并不能保证应用程序完全安全。许多攻击者已经开发出了规避REST API基本安全措施的高级技术。毕竟,并不是每次REST API安全攻击都以攻破Web应用程序基础架构为目。
在许多情况下,攻击者只是希望以非故意的方式使用API功能来访问敏感数据并获得竞争优势。这些活动可能来自可信来源,如已获准访问REST API的客户或合作伙伴。凭证、密钥和令牌也可能被窃取或劫持,从而使攻击者在我们的基线REST API安全标准之外推进类似活动。
为了获得更完善的保护,防止这些更复杂的API滥用方式,我们可以使用以下四种高级REST API安全最佳实践:
- 使用云收集大量REST API安全数据集
- 将行为分析应用于REST API数据
- 为开发和运营团队提供有关REST API使用情况的见解
- 开展积极主动的REST API威胁猎捕活动
使用云收集大量REST API安全数据集
许多第一代API安全技术都是在企业内部运行的。因此它们的作用仅限于分析非常短的活动窗口,之后API数据就会被丢弃。这种方式的效果极为有限,因为许多类型的API滥用活动都是在数周甚至数月内以低速缓慢的方式进行的。将API活动数据发送到云端,就能积累获得API详细信息所需规模的数据,存储时间跨度可达一个月或更长。这为更复杂的分析技术打开了大门。
将行为分析应用于REST API数据
一旦掌握了大量有意义的REST API活动信息,我们还可以利用云计算的计算规模来执行行为分析。增强REST API安全策略的第一种方法是识别相关实体,从而获得更多背景信息。实体可能包括用户以及有意义的业务流程。
有了这些上下文,我们就可以确定API的正常使用模式。在此基础上,可以进一步分析以检测异常。这种类型的异常检测是发现滥用的最佳方法,尤其是当滥用来自经过验证的用户时。
为开发和运营团队提供有关REST API使用情况的见解
保护企业免受REST API安全漏洞侵害的最佳方法之一是完全避免这些漏洞。与开发人员和运营人员共享有关RESTful API使用和滥用情况的信息,将有助于企业在开发和实施流程的早期就采用更好的REST API安全实践,实现“向左转”。
开展积极主动的REST API威胁猎捕活动
不要等到REST API滥用升级为严重安全事件时才采取行动。积极主动地调查REST API使用情况并查找滥用企图(即使没有成功),这有助于我们发现REST API安全实践中的薄弱环节。
检查API使用活动也是发现REST API安全漏洞的有效方法。在攻击者利用这些漏洞之前找到并消除它们,是增强REST API安全态势的最有效方法之一。
总结
Akamai已帮助大量全球知名的企业实施了基础和高级REST API安全最佳实践。从API发现到行为分析,再到托管的威胁猎捕服务,我们的方法将帮您加快REST API安全工作的步伐。
—————————————————————————————————————————————————
如您所在的企业也想要进一步保护API安全,
点击链接了解Akamai的解决方案
