全球 IT 同時(shí)加速 API 在各領(lǐng)域的應(yīng)用:物聯(lián)網(wǎng)、開放銀行�、微服務(wù)����、5G����、云原生等技術(shù)����,到2030年保守預(yù)估 API 全球接口數(shù)量為6億�����。
API 經(jīng)濟(jì)洶涌來襲應(yīng)用接口爆炸式增長(zhǎng)(概述)什么是 API 經(jīng)濟(jì)���,在經(jīng)濟(jì)學(xué)中的理解 API 等于功能或者業(yè)務(wù)�。我們每個(gè)人每天的衣食住行都和 API 接口訪問密不可分����,比如每天的健康碼查詢��、訂餐���、購物�����、天氣都和 API 訪問有著直接關(guān)系,所以 API 經(jīng)濟(jì)是利用互聯(lián)網(wǎng)的 API 技術(shù)與經(jīng)濟(jì)模式組合產(chǎn)生了 API 經(jīng)濟(jì)�。全球 IT 同時(shí)加速 API 在各領(lǐng)域的應(yīng)用:物聯(lián)網(wǎng)����、開放銀行���、微服務(wù)����、5G���、云原生等技術(shù)����,到2030年保守預(yù)估 API 全球接口數(shù)量為6億。- 微服務(wù)的采用-應(yīng)用 是由幾十個(gè)甚至數(shù)千個(gè)離散的服務(wù)組成的
- 持續(xù)性軟件開發(fā)-越來越多的團(tuán)隊(duì)正在構(gòu)建更多的 API���,并快速發(fā)布和變更
- 混合部署架構(gòu)-復(fù)雜的體系結(jié)構(gòu)導(dǎo)致 API 分布在多個(gè)環(huán)境中
惡意 API 攻擊流量激增,應(yīng)用零信任接入需求擴(kuò)大 (論點(diǎn))Salt Security 研究部門 Salt Labs 的一份新報(bào)告發(fā)現(xiàn)���,Salt Security 客戶遭遇的 API 攻擊流量在過去一年中增長(zhǎng)了681%��,與此同時(shí)整體 API 流量增長(zhǎng)了321%����。惡意 API 攻擊流量的急劇增加導(dǎo)致生產(chǎn)延遲和對(duì) API 安全策略缺乏信心�,最終損害業(yè)務(wù)和創(chuàng)新��。《2022年 F5 應(yīng)用策略現(xiàn)狀報(bào)告》通過大量拜訪眾多客戶進(jìn)行調(diào)研分析��,得出 API 安全最先應(yīng)該解決的問題是身份驗(yàn)證和授權(quán)����,身份驗(yàn)證和授權(quán)就會(huì)涉及到 Token。如何可以做到 API 接入持續(xù)驗(yàn)證 Token 永不信任�,如何解決最關(guān)鍵的病從口入核心問題����,所以應(yīng)用零信任接入控制為 API 安全第一道重要防線����。API 經(jīng)濟(jì)下無論在應(yīng)用開發(fā)���、應(yīng)用發(fā)布�����、應(yīng)用數(shù)據(jù)共享時(shí)都被頻繁使用,近年來 API 攻擊也正成為主要的非法數(shù)據(jù)獲取方法��。在幾類 API 攻擊中最常見��、危害最大的就是身份認(rèn)證及授權(quán)問題�,F(xiàn)5 Labs API 身份驗(yàn)證事件揭示了 API 認(rèn)證和授權(quán)事件的三個(gè)常見原因:某全球餐飲零售應(yīng)用未檢查通過 API 請(qǐng)求的用戶 ID 是否與登錄 Token 為同一人����,用戶 ID 由從1開始的純數(shù)字構(gòu)成�����,攻擊者可以枚舉并檢索用戶的個(gè)人敏感信息數(shù)據(jù)F5 Labs 報(bào)告中有這樣一個(gè)例子:一名研究人員將幾個(gè) API 請(qǐng)求鏈接在一起����,在一款移動(dòng)應(yīng)用上“賺取”了價(jià)值數(shù)十萬美元的積分�。該應(yīng)用會(huì)持續(xù)生成令牌來防止濫用��,卻沒有設(shè)置有效期,于是導(dǎo)致它們一遍又一遍地被利用F5 Labs 報(bào)告還描述了一起事件:涉事的操作系統(tǒng)有一個(gè) bug 允許對(duì) API 發(fā)出惡意 HTTP 請(qǐng)求�����,讓攻擊者輕輕松松就能拿到授權(quán)令牌。一旦攻擊者獲得了此授權(quán)令牌�,他們就擁有了管理員權(quán)限����。快速開始部署 F5 應(yīng)用零信任接入解決方案 (論證)API 應(yīng)用接入需要最少的特權(quán)訪問,F(xiàn)5 API 接入零信任安全方案����,可以更好的結(jié)合客戶API 網(wǎng)關(guān)和 F5 接入控制管理組件相結(jié)合��,實(shí)現(xiàn)對(duì)訪問控制權(quán)限顆粒度精細(xì)化的策略����,才能是真正 API 安全零信任解決方案��。
立即登錄,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
