当前企业对 API 漏洞利用和数据安全问题最为敏感,但大多数企业认为 API 风险对企业的影响程度为中低水平。调研显示,企业通常会遭受多种类型的 API 攻击事件,其中 API 的敏感数据和身份验证是最容易遭受攻击的两个薄弱环节。几乎所有类型的 API 安全产品都提供了数据资产识别及数据分类标识功能,预示着 API 安全可能成为数据流转合规的一项标准化管理手段。
API 是软件集成、系统集成、远程服务访问的基础。随着模块化、面向对象及微服务开发的进一步应用,API 从系统内部连接逐渐扩展到系统外部,并在整个互联网范围内连接起相互独立的各个业务节点。API 成为现代应用软件构建的关键方法。然而,API 自身的安全缺陷,如不安全的协议框架、开发缺陷和漏洞,都暴露到了互联网,这不仅使应用程序和 Web 应用面临严重的安全威胁,还增加了业务系统和数据的暴露面,为非法分子提供了可乘之机。
早期 API 安全主要侧重于开发阶段的安全性,但随着全球的数字经济转型,API 的暴露面、开发缺陷和漏洞产生攻击面都随之扩大。OWASP 提出了 API 十大安全风险,包括授权失效、身份验证失效和数据暴露等问题。近年来,API 安全事件频发,如 CVE-2022-1388 F5 BIG-IP iControl REST 身份认证绕过漏洞和 Apache Log4j 漏洞等,进一步凸显了 API 面临的安全挑战。
API 安全不仅关系到用户数据、企业业务和应用系统安全,还直接影响到国家数据安全。目前,国内外企业从应用软件开发商到安全厂商、第三方研究机构都开启了 API 安全理念的探索。API 安全理念应从 API 安全防护向 API 安全治理演进,遵循应用软件安全管理原则,覆盖 API 生产到使命结束的全生命周期。具体地,API 安全是指 API 在生产、部署、运营阶段所实施的一系列安全管理活动,包括规范 API 的使用行为,实施安全运行策略,采取风险监测、防护、响应等风险闭环措施。
欧盟在 API 安全方面最有影响力的法规是 GDPR 和 NIS 指令,这两部法规分别从个人数据和隐私安全方面对 API 安全提出了相应要求。这些法规倒逼数据服务商在 API 设计和实现过程中充分考虑数据保护和隐私要求,建立 API 治理框架来管理和保护 API 从设计到部署的整个生态过程。
API 安全框架涵盖了 API 生命周期的各个阶段,包括开发、部署和运营。安全开发指在 API 开发阶段,遵循安全开发规划,对代码进行安全开发、安全测试、构建,并进行 API 接口文档化、代码维护的工作。安全部署指为保证 API 被正常访问和使用,在 API 上线发布过程中,采用安全部署、安全配置,并对 API 的变更、下线进行维护管理的工作。安全运营指为保障业务系统的安全性,在业务运营过程中,进行 API 资产管理、风险监测及风险防护处置工作。
调研显示,企业通常会遭受多种类型的 API 攻击事件,其中 API 的敏感数据和身份验证是最容易遭受攻击的两个薄弱环节。几乎所有类型的 API 安全产品都提供了数据资产识别及数据分类标识功能,预示着 API 安全可能成为数据流转合规的一项标准化管理手段。
API 安全的典型应用场景包括车联网公有云环境的 API 风险监测能力建设、电信行业的网络防护、金融行业云原生 API 安全体系建设、移动应用环境的 API 安全能力建设等。
API 安全建设面临的主要挑战包括识别、检测、防护等核心能力存在不同程度的技术挑战,风险处置的自动化能力尚显不足。
API 安全建设的基本原则包括规范 API 的使用行为,实施安全运行策略,采取风险监测、防护、响应等