使用騰訊云API網(wǎng)關(guān)保護(hù)API安全

隨著企業(yè)數(shù)字化進(jìn)程的發(fā)展，企業(yè)正在大量使用API來(lái)連接服務(wù)和傳輸數(shù)據(jù)，API在帶來(lái)巨大便利的同時(shí)也帶來(lái)了新的安全問(wèn)題，被攻擊的API可能導(dǎo)致重要數(shù)據(jù)泄漏并對(duì)企業(yè)業(yè)務(wù)造成毀滅性影響。因此，API安全正受到業(yè)界和學(xué)術(shù)界的廣泛關(guān)注，開(kāi)放Web應(yīng)用程序安全項(xiàng)目（OWASP）在2019年將API列為最受關(guān)注的十大安全問(wèn)題。

OWASP API安全計(jì)劃是這樣描述的：“API是現(xiàn)代移動(dòng)、SaaS和Web應(yīng)用程序的重要組成部分，其可以在面向客戶、面向合作伙伴和內(nèi)部應(yīng)用程序中找到。因性質(zhì)使然，API會(huì)暴露應(yīng)用程序邏輯和個(gè)人身份信息(PII)等敏感數(shù)據(jù)，正因?yàn)槿绱?，API逐漸成為眾多攻擊者的目標(biāo)。沒(méi)有安全的API，就不可能實(shí)現(xiàn)快速創(chuàng)新。”

本文將帶您了解如何使用騰訊云API網(wǎng)關(guān)保護(hù)API安全，為您的業(yè)務(wù)保駕護(hù)航。

在騰訊云API網(wǎng)關(guān)上一般可以通過(guò)9種方式來(lái)保護(hù)API安全：

1.鏈路加密；

2.認(rèn)證鑒權(quán)；

3.請(qǐng)求映射與轉(zhuǎn)換；

4.參數(shù)校驗(yàn)；

5.IP訪問(wèn)控制；

6.跨域訪問(wèn)控制CORS；

7.流量監(jiān)控與保護(hù)；

8.DDoS防護(hù)能力；

9.與Web應(yīng)用防火墻WAF結(jié)合；

以下將分別介紹每種方式的作用場(chǎng)景與配置方法。

01.

鏈路加密

API是用來(lái)在服務(wù)之間交換數(shù)據(jù)的重要手段，如果交換的數(shù)據(jù)中包含敏感信息（比如身份信息、銀行信息等），那么數(shù)據(jù)的安全性和隱蔽性就顯得尤為重要。騰訊云API網(wǎng)關(guān)支持基于TLS協(xié)議對(duì)鏈路中傳輸?shù)膱?bào)文數(shù)據(jù)進(jìn)行加密，保護(hù)傳輸數(shù)據(jù)不會(huì)被泄露及篡改。

02.

認(rèn)證鑒權(quán)

鑒權(quán)（authentication）是指驗(yàn)證用戶是否擁有訪問(wèn)業(yè)務(wù)系統(tǒng)的權(quán)利，也是保護(hù)API安全最常見(jiàn)的一種方式。騰訊云API網(wǎng)關(guān)目前主要有4種鑒權(quán)方式，分別是：

·免鑒權(quán)

任何用戶無(wú)需鑒權(quán)即可通過(guò)API網(wǎng)關(guān)。

·應(yīng)用認(rèn)證

分發(fā)密鑰對(duì)給用戶，API調(diào)用方通過(guò)密鑰對(duì)生成簽名，使用簽名進(jìn)行請(qǐng)求。API網(wǎng)關(guān)收到請(qǐng)求后會(huì)校驗(yàn)簽名，簽名一致的情況下放行，否則拒絕請(qǐng)求。

·OAuth 2.0認(rèn)證

支持通過(guò)標(biāo)準(zhǔn)的OAuth 2.0協(xié)議對(duì)接API開(kāi)放方自身的認(rèn)證服務(wù)器，認(rèn)證服務(wù)器會(huì)向獲得權(quán)限的API調(diào)用方頒發(fā)令牌，API調(diào)用方可使用令牌訪問(wèn)后端資源。

·EIAM認(rèn)證

支持通過(guò)騰訊云EIAM產(chǎn)品對(duì)API進(jìn)行認(rèn)證和授權(quán)管理，適用于對(duì)API有細(xì)粒度權(quán)限管理的業(yè)務(wù)場(chǎng)景。

當(dāng)您根據(jù)自己的業(yè)務(wù)場(chǎng)景找到合適的鑒權(quán)方式后，可以在創(chuàng)建API時(shí)選擇對(duì)應(yīng)的認(rèn)證方式，創(chuàng)建API成功后即可使用該認(rèn)證方式調(diào)用API。

03.

映射轉(zhuǎn)換

API開(kāi)放者可以在API網(wǎng)關(guān)上配置客戶端訪問(wèn)API網(wǎng)關(guān)的規(guī)則、API網(wǎng)關(guān)請(qǐng)求業(yè)務(wù)后端的規(guī)則，并將這兩種規(guī)則關(guān)聯(lián)起來(lái)，通過(guò)這種方式就來(lái)實(shí)現(xiàn)請(qǐng)求映射與轉(zhuǎn)換。如圖，通過(guò)在API網(wǎng)關(guān)上的配置，對(duì)外暴露的請(qǐng)求和實(shí)際后端的請(qǐng)求中，請(qǐng)求方法、請(qǐng)求協(xié)議、訪問(wèn)域名、訪問(wèn)環(huán)境、請(qǐng)求路徑Path、Query參數(shù)等都發(fā)生了變化，對(duì)于API調(diào)用方而言，實(shí)際實(shí)現(xiàn)業(yè)務(wù)的后端是完全隱藏的。這樣就能保證客戶端直接請(qǐng)求業(yè)務(wù)后端帶來(lái)的安全風(fēng)險(xiǎn)。

04.

參數(shù)校驗(yàn)

要保證系統(tǒng)的安全性與健壯性，數(shù)據(jù)校驗(yàn)必不可少。通過(guò)校驗(yàn)參數(shù)的合法性，我們可以避免因?yàn)閭鲄惓?dǎo)致業(yè)務(wù)系統(tǒng)報(bào)錯(cuò)的問(wèn)題。API網(wǎng)關(guān)支持配置請(qǐng)求參數(shù)的校驗(yàn)規(guī)則，您可以指定參數(shù)名，參數(shù)類型和參數(shù)數(shù)據(jù)類型；同時(shí)可以指明是否必填、默認(rèn)值、示例數(shù)據(jù)和描述說(shuō)明。API網(wǎng)關(guān)會(huì)根據(jù)用戶配置的所有參數(shù)執(zhí)行校驗(yàn)與映射，如果客戶端傳遞了不符合規(guī)則的參數(shù)，請(qǐng)求將會(huì)被API網(wǎng)關(guān)拒絕，不會(huì)轉(zhuǎn)發(fā)給后端。

05.

IP訪問(wèn)控制

API安全防護(hù)過(guò)程中經(jīng)常需要針對(duì)IP地址進(jìn)行安全防護(hù)，API網(wǎng)關(guān)針對(duì)此場(chǎng)景提供了IP訪問(wèn)控制能力，主要用于限制API的調(diào)用來(lái)源IP，可以通過(guò)配置某個(gè)API的IP白名單/黑名單來(lái)允許/拒絕某個(gè)來(lái)源的API請(qǐng)求。IP訪問(wèn)控制采用插件的配置方式，創(chuàng)建IP訪問(wèn)控制插件后，綁定到API即可立即生效，具體配置方式請(qǐng)參考：

IP訪問(wèn)控制插件使用指南：https://cloud.tencent.com/document/product/628/53381

06.

跨域訪問(wèn)控制CORS

當(dāng)一個(gè)資源從與該資源本身所在的服務(wù)器不同的域、協(xié)議或端口請(qǐng)求一個(gè)資源時(shí)，資源會(huì)發(fā)起一個(gè)跨域HTTP請(qǐng)求?？缬虮举|(zhì)上是繞過(guò)同源請(qǐng)求的嚴(yán)格限制，所以會(huì)存在一定的安全風(fēng)險(xiǎn)，跨域訪問(wèn)控制CORS是為了彌補(bǔ)JSONP等跨域常見(jiàn)技術(shù)的缺陷，而提出的安全方便的跨域方案。API網(wǎng)關(guān)上支持針對(duì)API設(shè)置W3C規(guī)范的自定義的復(fù)雜CORS規(guī)則，幫助API開(kāi)放者避免跨域過(guò)程中的安全問(wèn)題。

跨域訪問(wèn)控制CORS同樣采用插件的配置方式，創(chuàng)建跨域訪問(wèn)控制CORS插件后，綁定到API即可立即生效，具體配置方式請(qǐng)參考：

跨域訪問(wèn)控制CORS插件使用指南：https://cloud.tencent.com/document/product/628/58253

07.

流量監(jiān)控與保護(hù)

流量監(jiān)控與保護(hù)的內(nèi)容在API網(wǎng)關(guān)的上一篇最佳實(shí)踐，可參考：

使用騰訊云API網(wǎng)關(guān)實(shí)現(xiàn)多維度精細(xì)化限流

08.

DDoS防護(hù)能力

DDos也叫分布式拒絕服務(wù)，是利用惡意程序遠(yuǎn)程控制很多感染了惡意程序的計(jì)算機(jī)，讓這些計(jì)算機(jī)同時(shí)對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)起請(qǐng)求，消耗目標(biāo)服務(wù)器CPU內(nèi)存資源或網(wǎng)絡(luò)帶寬資源，從而造成服務(wù)器無(wú)法正常向用戶提供服務(wù)。API網(wǎng)關(guān)共享實(shí)例和專享實(shí)例均接入了騰訊云內(nèi)部的DDoS防護(hù)體系，其中共享實(shí)例默認(rèn)具備基礎(chǔ)的DDoS防護(hù)能力，專享實(shí)例具備一定的DDoS高防能力，使用API網(wǎng)關(guān)可確保您的業(yè)務(wù)免受DDoS攻擊威脅。

09.

與Web應(yīng)用防火墻WAF結(jié)合

騰訊云Web應(yīng)用防火墻是一款非常強(qiáng)大的安全產(chǎn)品，能幫助騰訊云內(nèi)及云外用戶應(yīng)對(duì)Web攻擊、入侵、漏洞利用、篡改、后門(mén)、爬蟲(chóng)、域名劫持等網(wǎng)站及Web業(yè)務(wù)安全防護(hù)問(wèn)題。通過(guò)部署騰訊云WAF服務(wù)，并將WAF與API網(wǎng)關(guān)結(jié)合，可將Web攻擊威脅壓力從API網(wǎng)關(guān)轉(zhuǎn)移到WAF上，由專業(yè)的工具來(lái)做專業(yè)的防護(hù)。API網(wǎng)關(guān)結(jié)合WAF的配置方式請(qǐng)參考：

最佳實(shí)踐·API網(wǎng)關(guān)結(jié)合WAF提供安全防護(hù)：https://cloud.tencent.com/document/product/628/48326

隨著互聯(lián)網(wǎng)產(chǎn)品的興起，Web攻擊的手段越來(lái)越多樣，騰訊云API網(wǎng)關(guān)也將不斷修煉安全防護(hù)能力，爭(zhēng)取為應(yīng)用開(kāi)發(fā)者們提供業(yè)內(nèi)最安全的網(wǎng)關(guān)產(chǎn)品。