搶先注冊 | 沒有應(yīng)用零信任就沒有真正的 API 安全

來源:F5 Inc
作者:路笑凡
時間:2023-01-06
2097
全球 IT 同時加速 API 在各領(lǐng)域的應(yīng)用:物聯(lián)網(wǎng)、開放銀行、微服務(wù)、5G、云原生等技術(shù),到2030年保守預(yù)估 API 全球接口數(shù)量為6億。


API 經(jīng)濟(jì)洶涌來襲應(yīng)用接口爆炸式增長(概述)


什么是 API 經(jīng)濟(jì),在經(jīng)濟(jì)學(xué)中的理解 API 等于功能或者業(yè)務(wù)。我們每個人每天的衣食住行都和 API 接口訪問密不可分,比如每天的健康碼查詢、訂餐、購物、天氣都和 API 訪問有著直接關(guān)系,所以 API 經(jīng)濟(jì)是利用互聯(lián)網(wǎng)的 API 技術(shù)與經(jīng)濟(jì)模式組合產(chǎn)生了 API 經(jīng)濟(jì)。全球 IT 同時加速 API 在各領(lǐng)域的應(yīng)用:物聯(lián)網(wǎng)、開放銀行、微服務(wù)、5G、云原生等技術(shù),到2030年保守預(yù)估 API 全球接口數(shù)量為6億。
  • 微服務(wù)的采用-應(yīng)用 是由幾十個甚至數(shù)千個離散的服務(wù)組成的
  • 持續(xù)性軟件開發(fā)-越來越多的團(tuán)隊正在構(gòu)建更多的 API,并快速發(fā)布和變更
  • 混合部署架構(gòu)-復(fù)雜的體系結(jié)構(gòu)導(dǎo)致 API 分布在多個環(huán)境中



惡意 API 攻擊流量激增,應(yīng)用零信任接入需求擴(kuò)大 (論點)


Salt Security 研究部門 Salt Labs 的一份新報告發(fā)現(xiàn),Salt Security 客戶遭遇的 API 攻擊流量在過去一年中增長了681%,與此同時整體 API 流量增長了321%。惡意 API 攻擊流量的急劇增加導(dǎo)致生產(chǎn)延遲和對 API 安全策略缺乏信心,最終損害業(yè)務(wù)和創(chuàng)新。《2022年 F5 應(yīng)用策略現(xiàn)狀報告》通過大量拜訪眾多客戶進(jìn)行調(diào)研分析,得出 API 安全最先應(yīng)該解決的問題是身份驗證和授權(quán),身份驗證和授權(quán)就會涉及到 Token。如何可以做到 API 接入持續(xù)驗證 Token 永不信任,如何解決最關(guān)鍵的病從口入核心問題,所以應(yīng)用零信任接入控制為 API 安全第一道重要防線。



應(yīng)用零信任接入控制(論據(jù))


API 經(jīng)濟(jì)下無論在應(yīng)用開發(fā)、應(yīng)用發(fā)布、應(yīng)用數(shù)據(jù)共享時都被頻繁使用,近年來 API 攻擊也正成為主要的非法數(shù)據(jù)獲取方法。在幾類 API 攻擊中最常見、危害最大的就是身份認(rèn)證及授權(quán)問題,F(xiàn)5 Labs API 身份驗證事件揭示了 API 認(rèn)證和授權(quán)事件的三個常見原因:
API 端點沒有身份驗證
某全球餐飲零售應(yīng)用未檢查通過 API 請求的用戶 ID 是否與登錄 Token 為同一人,用戶 ID 由從1開始的純數(shù)字構(gòu)成,攻擊者可以枚舉并檢索用戶的個人敏感信息數(shù)據(jù)

失效的 API 身份驗證
F5 Labs 報告中有這樣一個例子:一名研究人員將幾個 API 請求鏈接在一起,在一款移動應(yīng)用上“賺取”了價值數(shù)十萬美元的積分。該應(yīng)用會持續(xù)生成令牌來防止濫用,卻沒有設(shè)置有效期,于是導(dǎo)致它們一遍又一遍地被利用

 失效的 API 授權(quán)
F5 Labs 報告還描述了一起事件:涉事的操作系統(tǒng)有一個 bug 允許對 API 發(fā)出惡意 HTTP 請求,讓攻擊者輕輕松松就能拿到授權(quán)令牌。一旦攻擊者獲得了此授權(quán)令牌,他們就擁有了管理員權(quán)限。




快速開始部署 F5 應(yīng)用零信任接入解決方案 (論證)


API 應(yīng)用接入需要最少的特權(quán)訪問,F(xiàn)5 API 接入零信任安全方案,可以更好的結(jié)合客戶API 網(wǎng)關(guān)和 F5 接入控制管理組件相結(jié)合,實現(xiàn)對訪問控制權(quán)限顆粒度精細(xì)化的策略,才能是真正 API 安全零信任解決方案。


立即登錄,閱讀全文
原文鏈接:點擊前往 >
文章來源:F5 Inc
版權(quán)說明:本文內(nèi)容來自于F5 Inc,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點,不代表快出海對觀點贊同或支持。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除!
相關(guān)文章
F5全新報告揭示AI時代API安全面臨嚴(yán)峻挑戰(zhàn)
F5全新報告揭示AI時代API安全面臨嚴(yán)峻挑戰(zhàn)
F5日前發(fā)布《2024年應(yīng)用策略現(xiàn)狀報告:API安全》(以下簡稱為“報告”),揭示了跨行業(yè)API安全面臨的嚴(yán)峻現(xiàn)狀。
AI
F5 Networks
云服務(wù)
2024-12-10
F5推出AI網(wǎng)關(guān),管理并保護(hù)快速增長的AI流量和應(yīng)用需求
F5推出AI網(wǎng)關(guān),管理并保護(hù)快速增長的AI流量和應(yīng)用需求
F5(NASDAQ:FFIV)日前宣布推出搶先體驗版F5 AI網(wǎng)關(guān)(AI Gateway),以簡化企業(yè)在推動AI部署過程中應(yīng)用、API和大語言模型(LLMs)間的交互。
AI
F5 Networks
云服務(wù)
2024-11-27
F5搭載NVIDIA BlueField-3 DPU賦能加速AI應(yīng)用交付
F5搭載NVIDIA BlueField-3 DPU賦能加速AI應(yīng)用交付
F5(NASDAQ:FFIV)日前宣布推出BIG-IP Next for Kubernetes,一項全新的創(chuàng)新AI應(yīng)用交付和應(yīng)用安全解決方案,旨在為服務(wù)提供商和大型企業(yè)提供集中控制點,以加速、保護(hù)和簡化流入和流出大型人工智能(AI)基礎(chǔ)設(shè)施的數(shù)據(jù)流量。
F5 Networks
云服務(wù)
2024-11-03
F5研究顯示:企業(yè)加速IT發(fā)展,以充分挖掘生成式AI潛力
F5研究顯示:企業(yè)加速IT發(fā)展,以充分挖掘生成式AI潛力
F5(NASDAQ:FFIV)日前發(fā)布《2024年數(shù)字化企業(yè)成熟度指數(shù)報告》(以下簡稱“報告”),該報告對全球企業(yè)數(shù)字化轉(zhuǎn)型工作進(jìn)行全面分析,強(qiáng)調(diào)了生成式人工智能(AI)的顯著影響及其在推動各行業(yè)數(shù)字化成熟度方面的關(guān)鍵作用。
F5 Networks
云服務(wù)
2024-11-02
優(yōu)質(zhì)服務(wù)商推薦
更多