API安全性的新思考
关键要点
- 开发者一直在使用API,而网络安全的挑战也与之并行。
- 2023年,CISO们将重视API的可见性以及安全的嵌入开发生命周期。
- 确保API安全解决方案的高效部署是实现全面可视性的关键。
- 实施全面的API安全策略是保护企业关键应用和数据的有效方式。
在开发应用程序的过程中,一直都有API的参与。从最初的XMLRFC到SOAP,再到现今的RESTful和,API的演变伴随着应用环境的扩展和API数量的激增,黑客开始利用脆弱或配置错误的API作为进入组织基础设施和关键数据的途径。
对于许多首席信息安全官(CISO)而言,了解API的使用情况和整体情况是2023年的组织优先事项。有效实现这一点需要在开发生命周期中嵌入API安全性。然而,这并不总是一项无缝或高效的过程。
许多API安全产品依赖其他系统提供日志,这涉及与多种模式(如API网关、负载均衡器或网络聚合器)直接集成,以便消费日志或流量镜像。然而,实际应用中这种设计理念存在问题,因为确定如何集成以获得所有API(特别是“影子API”)的完全可见性对组织来说是一项挑战。因此,一个能够在所有流量的瓶颈处分直接集成的API安全解决方案是必要的,以捕获应用程序和API数据。
如果您今年正在寻找API安全服务提供商,您可以问以下三个问题,以确保该解决方案能够快速、无缝地部署,并能够在异构环境中扩展以提供全面可见性。
该产品是否需要更改代码? 如果在持续集成和持续交付(CI/CD)生命周期中需要更改代码,会引入复杂性,从而可能导致开发项目的延误。这种代码更改可能会在生产中引发问题,因为它们在应用程序堆栈中可能无法扩展,使安全团队无法获得监控企业API交易所需的可见性。
该产品如何部署? 有效的API安全控制可以实施而不依赖于DevOps。目标是实现无需摩擦的部署,以自动发现和分类API,从而可以应用安全控制以防止异常活动。这种方法为开发人员提供了对其API环境的可见性,以及在CI/CD过程中进行额外代码分析的选项。
保护措施是否实时交付? 保护暴露的API不应依赖于实时保护的依赖关系。排队作业或通过与其他边缘解决方案的另一个集成提供近实时保护显然是不够的,因为这并不具备扩展能力。因此,当API安全合作伙伴建议其解决方案能减少您的平均修复时间时,请要求其提供明确性。保护应实时提供,足以与您的应用保护框架相媲美。
重新思考API安全设计方法
通过发现和分类来实现API端点的可见性应该遵循与您的应用安全策略相同的设计理念。首先,从任何互联网暴露的API开始。这应该通过在网络和应用堆栈的边缘创建一个无缝集成点来提供充分的保护,防止恶意行为者的攻击。
接下来,将安全策略扩展到内部API。如果您拥有建立在服务网格上的现代应用堆栈,这是一种专用的基础设施层,用于在服务或微服务之间促进服务到服务的通信,那么集成将会是无缝的。此集成可以通过代理设置,例如在Kubernetes中的Envoy,它是服务网格的内置组件。
为什么API安全的集成策略如此复杂,尤其是在API是应用交付堆栈的一部分时?这个过程通常涉及与网络的各个层次和不同的API网关的集成,这是启用API发现所需的很多努力。
在制定集成和运营策略以保护您的企业API时,需要完成以下三件事:
- 优先考虑互联网暴露的API: 暴露于互联网的API构成了企业最大的攻击面。必须在流量到达应用程序之前进行检查,提供可见性并实时实施安全规则。基于代理的解决方案简化了
