搶先注冊(cè) | 沒(méi)有應(yīng)用零信任就沒(méi)有真正的 API 安全

來(lái)源：F5 Inc

作者：路笑凡

時(shí)間：2023-01-06

全球 IT 同時(shí)加速 API 在各領(lǐng)域的應(yīng)用：物聯(lián)網(wǎng)、開(kāi)放銀行、微服務(wù)、5G、云原生等技術(shù)，到2030年保守預(yù)估 API 全球接口數(shù)量為6億。

API 經(jīng)濟(jì)洶涌來(lái)襲應(yīng)用接口爆炸式增長(zhǎng)（概述）

什么是 API 經(jīng)濟(jì)，在經(jīng)濟(jì)學(xué)中的理解 API 等于功能或者業(yè)務(wù)。我們每個(gè)人每天的衣食住行都和 API 接口訪問(wèn)密不可分，比如每天的健康碼查詢(xún)、訂餐、購(gòu)物、天氣都和 API 訪問(wèn)有著直接關(guān)系，所以 API 經(jīng)濟(jì)是利用互聯(lián)網(wǎng)的 API 技術(shù)與經(jīng)濟(jì)模式組合產(chǎn)生了 API 經(jīng)濟(jì)。全球 IT 同時(shí)加速 API 在各領(lǐng)域的應(yīng)用：物聯(lián)網(wǎng)、開(kāi)放銀行、微服務(wù)、5G、云原生等技術(shù)，到2030年保守預(yù)估 API 全球接口數(shù)量為6億。

微服務(wù)的采用-應(yīng)用是由幾十個(gè)甚至數(shù)千個(gè)離散的服務(wù)組成的
持續(xù)性軟件開(kāi)發(fā)-越來(lái)越多的團(tuán)隊(duì)正在構(gòu)建更多的 API，并快速發(fā)布和變更
混合部署架構(gòu)-復(fù)雜的體系結(jié)構(gòu)導(dǎo)致 API 分布在多個(gè)環(huán)境中

惡意 API 攻擊流量激增，應(yīng)用零信任接入需求擴(kuò)大（論點(diǎn)）

Salt Security 研究部門(mén) Salt Labs 的一份新報(bào)告發(fā)現(xiàn)，Salt Security 客戶(hù)遭遇的 API 攻擊流量在過(guò)去一年中增長(zhǎng)了681%，與此同時(shí)整體 API 流量增長(zhǎng)了321%。惡意 API 攻擊流量的急劇增加導(dǎo)致生產(chǎn)延遲和對(duì) API 安全策略缺乏信心，最終損害業(yè)務(wù)和創(chuàng)新。《2022年 F5 應(yīng)用策略現(xiàn)狀報(bào)告》通過(guò)大量拜訪眾多客戶(hù)進(jìn)行調(diào)研分析，得出 API 安全最先應(yīng)該解決的問(wèn)題是身份驗(yàn)證和授權(quán)，身份驗(yàn)證和授權(quán)就會(huì)涉及到 Token。如何可以做到 API 接入持續(xù)驗(yàn)證 Token 永不信任，如何解決最關(guān)鍵的病從口入核心問(wèn)題，所以應(yīng)用零信任接入控制為 API 安全第一道重要防線。

應(yīng)用零信任接入控制（論據(jù)）

API 經(jīng)濟(jì)下無(wú)論在應(yīng)用開(kāi)發(fā)、應(yīng)用發(fā)布、應(yīng)用數(shù)據(jù)共享時(shí)都被頻繁使用，近年來(lái) API 攻擊也正成為主要的非法數(shù)據(jù)獲取方法。在幾類(lèi) API 攻擊中最常見(jiàn)、危害最大的就是身份認(rèn)證及授權(quán)問(wèn)題，F(xiàn)5 Labs API 身份驗(yàn)證事件揭示了 API 認(rèn)證和授權(quán)事件的三個(gè)常見(jiàn)原因：

API 端點(diǎn)沒(méi)有身份驗(yàn)證

某全球餐飲零售應(yīng)用未檢查通過(guò) API 請(qǐng)求的用戶(hù) ID 是否與登錄 Token 為同一人，用戶(hù) ID 由從1開(kāi)始的純數(shù)字構(gòu)成，攻擊者可以枚舉并檢索用戶(hù)的個(gè)人敏感信息數(shù)據(jù)

失效的 API 身份驗(yàn)證

F5 Labs 報(bào)告中有這樣一個(gè)例子：一名研究人員將幾個(gè) API 請(qǐng)求鏈接在一起，在一款移動(dòng)應(yīng)用上“賺取”了價(jià)值數(shù)十萬(wàn)美元的積分。該應(yīng)用會(huì)持續(xù)生成令牌來(lái)防止濫用，卻沒(méi)有設(shè)置有效期，于是導(dǎo)致它們一遍又一遍地被利用

失效的 API 授權(quán)

F5 Labs 報(bào)告還描述了一起事件：涉事的操作系統(tǒng)有一個(gè) bug 允許對(duì) API 發(fā)出惡意 HTTP 請(qǐng)求，讓攻擊者輕輕松松就能拿到授權(quán)令牌。一旦攻擊者獲得了此授權(quán)令牌，他們就擁有了管理員權(quán)限。

快速開(kāi)始部署 F5 應(yīng)用零信任接入解決方案（論證）

API 應(yīng)用接入需要最少的特權(quán)訪問(wèn)，F(xiàn)5 API 接入零信任安全方案，可以更好的結(jié)合客戶(hù)API 網(wǎng)關(guān)和 F5 接入控制管理組件相結(jié)合，實(shí)現(xiàn)對(duì)訪問(wèn)控制權(quán)限顆粒度精細(xì)化的策略，才能是真正 API 安全零信任解決方案。

立即登錄，閱讀全文

安全防護(hù)

上一篇：《勝利女神：NIKKE》發(fā)布首月收入突破1億美元，令騰訊海外收入占比提升12.5%

原文鏈接：點(diǎn)擊前往 >

文章來(lái)源：F5 Inc

版權(quán)說(shuō)明：本文內(nèi)容來(lái)自于F5 Inc，本站不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn)，不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán)，請(qǐng)聯(lián)系管理員（zzx@kchuhai.com）刪除！

相關(guān)文章