阅读: 469
在2022RSA大会上,来自Techstrong Research[1]的Mitch Ashley发表了一个名为“The Rise of API Security:It’s 10 pm – Do You Know Where Your APIs Are?”的演讲。该议题主要针对目前不断增长的API安全进行了调查和探讨。Mitch Ashley从API安全增长的原因,目前企业的API安全建设现状,以及API的管理建设分析了当前API安全的发展趋势。
API(Application Programming Interface)作为程序之间交互的桥梁,承担着数据传输的重大作用。随着软件工程的不断发展,企业的系统结构也在顺应潮流不断发展。
传统的单体应用的架构因为其单一应用,非模块化,只区分UI界面,数据,业务逻辑,只需要对外暴露少量API即可。但是这种模式比较臃肿,不够灵活。因此,催生出对面服务的SOA架构,将各个模块功能拆分为服务,对外暴露,并使用broker服务发现,并定义特定的数据传输协议和各种远程调用协议,例如早期的zookeepr,dubbo。成功地将传统的单体应用变成了分布式的应用,模块的扩展也更加灵活。随着云原生技术的发展,容器化技术,可编排,微服务,服务网格等技术使得业务的架构管理更加灵活。与之同时,带来的也是各个模块之间交互的API的大量增长。
图1 软件架构引进过程
图2 瀑布流式开发模式
图3 敏捷开发流程
图4 企业2022年API 安全项目调查
图5 DevSecOps流程是否优先考虑API安全性调查
图6 用户最关心的3个API安全的问题
API生命周期的管理:覆盖API的创建,发布,实现,维护,以及退出的整个周期。
API安全:需要做好API的认证,授权,发现,防护,测试,分析。
API协议:API涉及多种类型的协议和数据类型,做好不同类型的协议和数据的分析只是也只API安全建设中很重要的一环。
图7 持续的API管理
· 遵循OWASP API TOP10的规范[2]
· 采用OAuth或者API鉴权
· 添加合适的流控限制
· 零信任
· API网关
· 做好代码审计扫描
在现在云原生的环境下,随着系统架构和开发模式的迭代更新,API的数量呈现飞速上涨趋势,API的安全风险也越来越不容忽视,越来越多的攻击瞄准了系统的API。而从调查来看,目前企业的API安全建设还不够完善。这也意味着这里存着在一个比较大市场机会。关于如何做好API安全,企业可以通过API先行的方式,在系统设计初期就做好API的管理,规避API的安全风险。同时做好API的整个生命周期的安全管理,遵从API安全实践,减少API风险,降低企业攻击的暴露面,防止网络攻击与数据泄露。
[1] https://techstrongresearch.com
[2] https://owasp.org/www-project-api-security
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。
