Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、扩展性和专业技术,助其从容拓展业务。
应用程序编程接口 (API) 是企业数字产品、服务和云环境的核心。由于 API 允许截然不同的系统协同工作并共享数据,因此 API 对于创新、业务生产力和软件开发至关重要。
尽管 API 对于我们的现代 IT 系统来说不可或缺,但它们也是网络犯罪分子青睐的目标。例如,API 对数据的持续访问使它们成为了一种运营风险。出于此原因,API 安全解决方案已成为安全堆栈的关键组成部分。通过建立用于保护 API 与其他系统之间交互的协议、工具和实践,API 安全解决方案有助于防止未经授权的访问、数据泄露和其他破坏性网络攻击。
什么是 API 安全?
API 是一组规则和协议,它使高度多样化的软件应用程序和系统能够轻松进行通信并共享数据和功能。从本质上说,API 定义了一套方法和数据格式,不同的应用程序可遵循这些方法和数据格式来彼此请求和共享信息。
此功能为软件开发人员带来了巨大的好处。在开发人员构建新的应用程序和 Web 应用程序时,API 使他们能够整合数据并利用现有软件的功能,而不是创建新数据库和从头开始构建新功能。因此,开发人员可以加快时间表并创建更强大的软件。
由于 API 得到了广泛使用,并且它们经常会访问敏感数据,因此 API 已成为恶意攻击者的主要攻击媒介。API 安全是部署协议、最佳实践和技术来防范各种 API 攻击的实践。
对 API 安全解决方案的需求
由于 API 对 IT 系统的功能至关重要,因此 API 安全是一项关键业务工作。如果攻击者成功实施针对 API 的攻击,可能会给企业带来破坏性后果,包括:
- 经济损失。API 攻击可能使网络犯罪分子获得对金融账户的访问权限并窃取资金。其他经济损失包括法律费用、监管罚款、对受攻击影响的客户的补偿,以及失去业务机会带来的长期影响。
- 数据泄露。由于 API 通常会处理敏感数据和个人身份信息 (PII),因此 API 攻击可能会造成数据泄露,进而导致身份盗窃、财务欺诈和其他恶意活动。
- 运营中断。由于 API 对应用程序和系统的性能至关重要,因此 API 安全漏洞可能会导致停机和生产力损失。此外,攻击者通常会使用 API 发起拒绝服务 (DoS) 攻击,从而导致合法用户无法使用服务和功能。
- 声誉受损。API 攻击得逞可能会严重损害企业的声誉。这不仅会导致客户在与公司开展业务时心存顾虑,而且合作伙伴也可能会对企业保护数据的能力丧失信心。这些事态的发展可能会导致企业错失重大的业务机会。
- 知识产权损失。攻击者可能会利用 API 来获取至关重要的业务信息,包括商业秘密、业务计划和知识产权。
API 安全面临的挑战
任何 API 安全解决方案都必须帮助企业克服保护 API 免受攻击和滥用的几大障碍。
- API 的复杂性。现代 API(尤其是使用 GraphQL 或 REST 的 API)的复杂性使安全防护变得更加困难。
- 不断发展变化的威胁。API 面临的威胁在不断发展变化,因为攻击者会寻找新的漏洞来利用 API,并寻找新的 API 滥用方法。
- 截止期限压力。在快节奏的 DevOps 工作流程中,开发人员需要快速行动来满足截止期限要求,而这往往与 API 的安全考量相冲突。
- 快速激增。API 的使用呈爆炸式增长,这使得 IT 团队难以掌控安全性,尤其是在 API 的新版本持续迭代的情况下。
- 缺乏监测能力。由于快速且不受管控的增长导致出现“API 蔓延”,因此 IT 团队很难准确地识别和清点 API,从而无法保护其生态系统中的所有 API。
- 糟糕的治理框架。在许多企业中,多个团队往往各自为政,会在缺少任何中心安全或治理框架的情况下同时进行 API 的开发工作。更糟糕的是,企业经常会采用开源 API 或第三方 API,这使得安全集成变得更加困难。
API 安全面临的常见威胁
恶意攻击者可通过各种方式来使用或滥用 API,以利用漏洞、泄露数据和中断服务。
- 未经授权的访问。攻击者可能会操纵 API 端点或者使用撞库和暴力破解攻击来对数据进行未经授权的访问。
- 服务中断。拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击会通过大量请求使 API 不堪重负,从而导致合法用户无法使用应用程序和服务。或者,攻击者可能会滥用 API 调用来过度消耗资源(如带宽和计算能力),从而增加运营成本并可能导致服务中断。
- 注入攻击。SQL 注入和跨站脚本攻击 (XSS) 等攻击可能会导致 API 执行意外和危险的操作,进而造成数据丢失、数据泄露或帐户接管。
- 未经授权的功能访问。这些攻击会利用访问控制中的薄弱环节来执行未经授权的操作或绕过安全控制措施。
- 操纵业务逻辑。攻击者经常会利用未能保护业务逻辑的 API,这使得他们能够自动伪造帐户。批量分配攻击会利用自动将输入数据绑定到内部属性而且不对其进行适当筛选的 API,这使得黑客能够通过在 API 请求中添加额外参数来更改用户角色。
- 错误配置。利用错误配置的 API 可能会让攻击者获取对敏感数据或功能的访问权限。攻击者还可能以安全防护较弱且未受监控或未记录的 API 为目标。
- 第三方 API 滥用。当企业信任来自第三方 API 的数据而未进行适当的验证时,攻击者可操纵主要服务的数据或功能以访问供应链中的其他系统。
有关详细说明,请参阅 OWASP 十大 API 安全威胁列表。
API 安全解决方案的类型
企业可以采用能够提供多层保护并帮助改善 API 相关安全态势的 API 网络安全工具。
- 身份验证和授权技术:要确保只有授权用户才能访问 API 和操纵数据,企业必须采用多重身份验证、OAuth、OpenID Connect 和 API 密钥等身份验证方法。授权技术包括基于角色的访问控制和基于属性的访问控制。
- API 网关:API 网关充当所有 API 请求的入口点,可执行身份验证、速率限制、流量管理和缓存等任务来实时防范 DDoS 攻击。
- 加密:加密解决方案可防止攻击者拦截通过 API 传输的数据。要保护 API 流量、请求、响应和静态数据,企业可以会使用 SSL、TLS 和 AES 加密等技术。
- 速率限制:通过限制用户或设备可以在指定时间段内发出的请求数量,速率限制能够防止 DoS 攻击。这可以防止攻击者通过请求导致 API 不堪重负。
- 审计和日志记录:审计涉及跟踪 API 请求和响应,而日志记录涉及以安全且防篡改的方式记录 API 事件和活动。对审计和日志进行持续审查有助于深入了解 API 活动,使 IT 团队能够检测和抵御安全威胁。
- API 安全测试:开发和安全团队必须定期进行测试,以识别 API 漏洞和潜在的 API 风险。通过使用手动技术或自动化,API 测试可确保 API 安全无虞并且能够按预期运行。动态应用程序安全测试 (DAST) 方法使企业能够在真实条件下对 API 进行运行时测试,而静态应用程序安全测试 (SAST) 会审查 API 的代码,以便在开发过程的早期阶段发现并解决安全问题。
- API 监控和运行时保护:通过持续监控 API 使用情况和行为,安全团队可以建立正常的基准行为并识别出可能表明存在 API 滥用的异常或可疑行为。
- 漏洞管理:为了防止攻击者利用 API 中的漏洞,安全团队可以部署 API 安全解决方案进行漏洞扫描、安装补丁和修复。
- API 安全平台:企业可以选择采用在一个位置整合了多个 API 安全解决方案的 API 保护平台。
API 安全的四个关键组成部分
1.API 发现:
- 无论配置或类型如何,找到您的所有 API 并将其加入清单中。
- 检测休眠、遗留和僵尸 API。
- 识别被遗忘、被忽视或未知的影子域名。
- 消除监控盲点,发现潜在攻击路径。
2.API 态势管理:
- 自动扫描基础架构,以发现错误配置和隐藏的风险。
- 创建自定义工作流程,将漏洞的相关情况告知主要利益相关者。
- 确定哪些 API 和内部用户能够访问敏感数据。
- 为检测到的问题分配严重程度评级,以确定补救工作的优先级。
3.API 运行时安全:
- 监控数据篡改和泄露、策略违反情况、可疑行为以及 API 攻击。
- 无需进行额外的网络调整或安装难以部署的代理,即可轻松分析 API 流量。
- 与现有工作流程(工单、SIEM 等)进行集成,以便向安全/运营团队发出告警。
- 通过部分或全自动化补救,实时防止各类攻击和滥用行为。
4.API 安全测试:
- 运行模拟恶意流量的各种自动化测试。
- 在 API 进入生产环境之前发现漏洞,从而降低攻击得逞的风险。
- 依据已确立的管理策略和规则,对 API 规范进行检查。
- 根据实际需求或在 CI/CD 管道中运行以 API 为重点的安全测试。
API 安全最佳实践
除了 API 安全工具之外,IT 团队还可以采用各种 API 安全最佳实践,以帮助保护 API 免受威胁和滥用的侵扰。
- API 安全策略:API 在实现不同系统和平台(包括云原生和多云环境)之间的互操作性方面发挥着关键作用。在这些复杂的生态系统中管理 API 安全需要实施强大的安全策略,以确保 API 能够在各种云环境(包括 AWS 和 SaaS 提供商)中安全运行。
- 持续 API 发现:IT 团队必须持续致力于对其数字生态系统中所有 API(包括影子 API 和僵尸 API)进行监测,并维护一份实时更新的 API 清单。发现还可以确保正确弃用和停用旧版本的 API,从而帮助管理 API 蔓延并减小攻击面。
- API 生命周期管理:API 安全要求对从设计、开发到部署和启用的整个 API 生命周期进行有效管理。在每个生命周期阶段专注于保护 API 的 API 管理有助于确保实现更强大的 API 安全性。
- 安全的 API 开发:将安全防护集成到 DevOps 管道、应用程序安全 (AppSec) 工作和 DevSecOps 实践中,有助于使 API 安全成为开发生命周期的基本组成部分。
常见问题
API 端点是一个特定的地址或 URL,应用程序可以在其中访问另一项服务以获取数据或执行操作。它是在不同软件系统之间传递请求和信息的大门。
API 安全和应用程序安全都专注于保护软件系统。API 安全更专注于保护 API,以防止未经授权的访问、对数据进行加密和保护以及修复常见的漏洞。应用程序安全和 Web 应用程序安全的范围更广,并专注于保护整个应用程序,包括其代码、基础架构和用户数据。应用程序安全包括安全编码、配置管理、访问控制和定期安全测试等实践。从本质上来说,API 安全是应用程序安全的一个子领域,它经过了量身定制,能够满足保护用于实现应用程序间通信的接口的特定需求。
Akamai Security 致力于为推动业务发展的应用程序提供全方位安全防护,而且不影响性能或客户体验。诚邀您与我们合作,利用我们规模庞大的全球平台以及出色的威胁监测能力,防范、检测和抵御网络威胁,帮助您建立品牌信任度并实现您的愿景。