荣誉主笔应用程序接口API防护技术发
在数字时代下,无论是互联网商业创新还是传统企业数字化转型,都推动了API技术的发展,API从只用于企业内部服务调用,到面向外部服务调用,再到如今的对外公开调用,API已经逐步从限制性的局部接口,转向更大和更广的领域。其连接的已不仅仅是系统和数据,还有企业内部职能部门、客户和合作伙伴,甚至整个商业生态。
随着API形态的发展,其面临的威胁发生了转变,相应的防护技术也在发展。
早期API防护以API网关为主,该技术主要是通过身份验证、访问控制、速率限制等手段提供防护能力。此类技术非常成熟,无论是开源系统还是商用系统都已广泛使用。但API网关是以鉴权为核心,缺少攻击检测和防护能力,对API的安全威胁防护远远不够。
之后出现了基于WAF的解决方案,以解决API在面临新型专属攻击的同时所面临的传统Web攻击。该方案主要是通过特征匹配、策略规则等方式,对API请求中的SQL注入、命令注入、CC等攻击进行检测,同时增加了API调用参数检查、合规检查等安全功能。
但随着针对API特性的攻击越来越多,单纯依靠API网关和WAF技术并不能全面有效的识别API安全风险,新兴的API融合防护技术开始发展。依托机器学习、行为分析、特征识别等技术,实现API接口的自动发现、风险识别、传统攻击检测、敏感数据管控等功能,提供覆盖API全维度的安全防护。
02发展难点分析API自身特点决定了它面临着许多特别的安全威胁,除了传统的Web攻击外,还面临着凭证失陷、越权访问、过度数据暴露等威胁。同时,针对这些威胁检测要涉及到API接口发现、参数检测、行为识别、访问控制等多个环节,任何环节的缺失或不足都会影响到整体防护效果,其发展难点表现在:
1.多渠道多边界难以全面防护
访问入口的多样化,带来了服务部署边界的多样化,如:Web、APP、小程序、第三方平台等业务接入渠道。多样化接入导致了脆弱点的暴露面扩大,增加了风险管控复杂性。在同一防护体系内融合多业务接入渠道的防护是API防护的难点之一。
2.接口分散和数据多样性导致接口难以发现
全面准确的API接口发现是API防护工作的基础,对API接口进行自动识别、分类尤为重要。与传统Web应用可以依赖自身结构上的统一入口不同,API自身多以独立个体的方式存在,采用点对点的访问模式,难以通过接口之间的联系进行API发现。同时,传输数据格式的多样性(JSON、XML、GraphQL等)也增加了API的识别难度。
3.业务紧耦合防护策略难以通用
API和业务系统是紧耦合的,针对API的防护策略往往也和业务相关,这就造成API防护策略在跨业务的情况下难以通用,而微服务架构和DevOps模式下应用快速迭代变化的特性也放大了这一难点,解决这一问题是API防护产品快速部署推广的一个难点。
4.合法授权下的滥用风险难以识别
目前API在授权之后的访问控制相对薄弱,海外安全机构SaltSecurity发布《StateofAPISecurity》中显示,95%的API攻击发生在身份验证之后。API防护需要重点
