收藏
下载资源 加入会员免费下载

永安在线API安全建设白皮书_22页_746kb.pdf

返回 相关 举报
永安在线API安全建设白皮书_22页_746kb.pdf_第1页
第1页 / 共22页
永安在线API安全建设白皮书_22页_746kb.pdf_第2页
第2页 / 共22页
永安在线API安全建设白皮书_22页_746kb.pdf_第3页
第3页 / 共22页
永安在线API安全建设白皮书_22页_746kb.pdf_第4页
第4页 / 共22页
永安在线API安全建设白皮书_22页_746kb.pdf_第5页
第5页 / 共22页
点击查看更多>>
资源描述
版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 1API安 全 建 设 白 皮 书API 安 全 建 设 白 皮 书版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 2API安 全 建 设 白 皮 书目 录前 言 .31. API是 什 么 . 31.1. API的 定 义 . 31.2. API的 类 型 . 41.3. 小 结 .52. API的 安 全 挑 战 .52.1. API防 护 缺 失 已 成 业 务 和 数 据 安 全 最 大 风 险 敞 口 .62.2. API面 临 的 主 要 安 全 问 题 . 62.2.1. API资 产 不 可 见 . 62.2.2. 攻 击 面 增 加 . 72.2.3. API攻 击 更 加 隐 蔽 . 82.2.4. 监 管 合 规 性 挑 战 . 92.3. 小 结 . 103. API全 生 命 周 期 安 全 防 护 .103.1. API安 全 设 计 的 指 导 原 则 .113.1.1. 5A原 则 . 113.1.2. 纵 深 防 御 原 则 . 123.2. API生 命 周 期 的 安 全 防 护 模 型 .133.2.1. 设 计 阶 段 : 引 入 威 胁 建 模 .143.2.2. 开 发 阶 段 : 安 全 开 发 意 识 和 规 范 培 训 , 引 入 安 全 工 具 .153.2.3. 测 试 阶 段 : 漏 洞 加 入 测 试 流 程 , 使 用 AST类 工 具 提 高 覆 盖 率 . 163.2.4. 上 线 运 行 阶 段 : 借 助 网 关 、 WAF和 流 量 审 计 工 具 提 早 感 知 攻 击 面 . 173.2.5. 迭 代 阶 段 : 利 用 安 全 工 具 及 时 审 计 API 变 更 .213.2.6. 下 线 阶 段 : 及 时 下 线 僵 尸 影 子 API.213.3. 小 结 . 22结 束 语 . 22版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 3API安 全 建 设 白 皮 书前 言数 字 经 济 时 代 , 数 据 成 了 重 要 生 产 要 素 , 对 数 据 要 素 的 掌 控 和 利 用 能 力 , 已 成 为 经 济 增 长的 核 心 驱 动 力 。 数 据 因 其 变 现 价 值 极 高 使 其 成 为 企 业 的 重 要 资 产 , 与 此 同 时 围 绕 数 据 的 攻 防 也变 得 越 来 越 剧 烈 , 数 据 的 安 全 是 网 络 安 全 不 可 或 缺 的 重 要 组 成 部 分 。在 云 计 算 、 大 数 据 、 物 联 网 、 人 工 智 能 、 5G 等 新 兴 技 术 的 推 动 下 , 伴 随 着 近 些 年 的 疫 情因 素 , 大 部 分 企 业 都 在 积 极 推 进 数 字 化 和 在 线 化 转 型 。 数 字 化 和 在 线 化 使 得 连 接 数 据 和 应 用 的API爆 炸 式 增 长 。 企 业 通 过 API的 能 力 将 数 据 资 源 整 合 , 提 供 给 到 用 户 、 合 作 伙 伴 、 内 部 员 工等 多 方 使 用 , 让 数 据 在 多 方 流 动 起 来 , 并 借 助 云 智 物 大 移 的 技 术 提 高 企 业 的 生 产 效 率 。 API 在数 字 化 转 型 中 扮 演 的 角 色 将 愈 发 重 要 , 通 过 API来 进 行 数 据 交 换 和 实 现 业 务 逻 辑 成 为 最 常 见 的方 式 , 每 个 API 都 有 可 能 成 为 一 个 攻 击 面 , API增 多 , 漏 洞 也 会 增 多 , API 也 因 此 成 为 攻 击 者的 重 点 攻 击 对 象 。2022 年 国 家 级 攻 防 演 练 新 增 了 对 于 数 据 泄 漏 的 攻 防 点 , 说 明 数 据 的 安 全 保 护 逐 步 从 监 管法 规 落 实 到 具 体 的 攻 防 实 战 中 来 。 虽 然 入 侵 拖 库 带 来 的 数 据 泄 漏 随 着 网 络 边 界 安 全 水 位 增 高 ,难 度 已 经 非 常 大 了 , 但 近 些 年 因 API安 全 问 题 导 致 的 数 据 泄 漏 事 件 却 频 频 发 生 , 可 以 看 到 API安 全 是 一 个 常 见 但 似 乎 又 不 为 人 熟 知 的 挑 战 。 OWASP 每 年 整 理 API Security Top 10问 题 都 会有 新 的 变 化 , 值 得 每 个 企 业 关 注 并 更 新 应 对 策 略 。 从 传 统 的 WAF到 Gartner提 出 的 WAAP方 案 ,API的 安 全 问 题 成 为 行 业 关 注 的 新 焦 点 。1. API 是 什 么1.1. API的 定 义API( Application Programming Interface, 应 用 程 序 接 口 ) 是 一 种 计 算 接 口 , 定 义 了 软件 之 间 的 数 据 交 互 方 式 、 功 能 类 型 。 随 着 互 联 网 的 普 及 和 发 展 , API从 早 期 的 软 件 内 部 调 用 的接 口 , 扩 展 到 互 联 网 上 对 外 提 供 服 务 的 接 口 。 调 用 者 通 过 调 用 API, 可 以 获 取 接 口 提 供 的 各 项服 务 , 而 无 须 访 问 源 码 , 也 无 须 理 解 内 部 工 作 机 制 的 细 节 。版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 4API安 全 建 设 白 皮 书目 前 我 们 讨 论 的 API更 多 是 指 Web API, 不 同 于 由 操 作 系 统 或 库 公 开 给 在 同 一 台 机 器 上 运行 的 应 用 程 序 的 API。 Web API 是 一 种 编 程 接 口 , 由 一 个 或 多 个 公 开 暴 露 的 端 点 组 成 , 指 向 已定 义 的 请 求 -响 应 消 息 系 统 , 通 常 以 JSON 或 XML 表 示 。1.2. API的 类 型Web API 被 定 义 为 基 于 HTTP, 今 天 看 到 的 四 种 主 要 类 型 的 Web API :RESTful API: 可 以 追 溯 到 Roy Fielding 在 2000 年 的 博 士 论 文 , 代 表 性 状 态 传 输 是 最常 见 的 Web API 类 型 , 通 常 使 用 JSON( JavaScript 对 象 表 示 法 ) 来 处 理 数 据 。 RESTful API 很 容 易 被 现 代 前 端 框 架 ( 例 如 , React 和 React Native) 使 用 , 并 促 进 Web 和 移 动 应 用 程序 的 开 发 。 它 们 成 为 任 何 Web API 的 事 实 上 的 标 准 , 包 括 用 于 B2B 的 那 些 , 是 目 前 的 主 流 应用 风 格 。SOAP API: SOAP 使 用 详 细 的 扩 展 标 记 语 言 (XML) 进 行 远 程 过 程 调 用 (RPC)。 目 前 使 用比 较 少 , 在 一 些 老 旧 的 系 统 能 还 能 看 到 。GraphQL API: Facebook 开 发 的 新 GraphQL 标 准 通 过 单 个 POST 端 点 ( 通 常 是 /graphql) 提 供 数 据 库 访 问 , 多 用 于 具 有 图 结 构 的 数 据 场 景 , 实 际 应 用 目 前 比 较 少 见 。gRPC API: 一 种 新 的 、 Google 开 发 的 基 于 HTTP/2.0 的 高 性 能 二 进 制 协 议 , 主 要 用 于 一些 海 量 用 户 的 高 并 发 请 求 的 场 景 。版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 5API安 全 建 设 白 皮 书1.3. 小 结在 当 今 应 程 序 驱 动 的 世 界 中 , 创 新 的 个 基 本 元 素 就 是 API。 从 银 、 零 售 、 运 输 到 物联 、 动 驾 驶 汽 和 智 慧 城 市 , API是 现 代 移 动 端 、 SaaS和 web应 程 序 的 关 键 部 分 , 企 业在 向 客 户 、 向 合 作 伙 伴 和 机 构 内 部 的 应 程 序 中 随 处 可 API的 使 。 Akamai的 统 计 报 告指 出 “ API 请 求 已 占 所 有 应 用 请 求 的 83%, 预 计 2024 年 API请 求 命 中 数 将 达 到 42 万 亿 次 ” 。从 本 质 上 讲 , API暴 露 了 应 程 序 的 逻 辑 和 敏 感 数 据 , 如 个 身 份 信 息 , 正 因 为 如 此 , 它 越 来越 多 地 成 为 攻 击 者 的 标 。没 有 安 全 的 API, 快 速 创 新 将 是 不 可 能 的 。2. API 的 安 全 挑 战从 API 的 发 展 过 程 可 了 解 到 , API 安 全 问 题 一 直 伴 随 着 API 技 术 的 发 展 而 不 断 变 化 。 API安 全 是 从 安 全 的 角 度 关 注 API领 域 的 安 全 问 题 和 这 些 问 题 的 解 决 方 案 , 关 注 的 安 全 领 域 与 传 统的 Web安 全 比 较 接 近 , 但 又 不 同 于 Web安 全 。 传 统 Web安 全 更 多 的 是 关 注 Web应 用 程 序 的 安 全性 , 以 服 务 器 端 应 用 程 序 安 全 为 主 , 其 漏 洞 表 现 形 式 主 要 为 SQL 注 入 、 XSS、 CSRF等 。 而 新 形势 下 的 API由 于 承 载 了 业 务 逻 辑 和 数 据 流 动 , 随 着 微 服 务 和 云 计 算 的 发 展 , 模 块 之 间 越 来 越 独立 , 每 个 模 块 可 以 根 据 请 求 需 要 动 态 扩 容 , 原 来 的 服 务 器 边 界 被 打 破 ; 攻 击 面 不 断 扩 大 的 情 况下 带 来 了 新 的 安 全 管 理 问 题 和 安 全 技 术 问 题 , 面 临 的 外 部 环 境 比 传 统 的 Web安 全 更 为 复 杂 。从 云 管 端 的 角 度 来 看 , API安 全 在 服 务 器 端 包 含 API服 务 及 其 运 行 环 境 ( 与 传 统 Web 安 全相 似 ) 的 安 全 , 管 道 侧 包 括 API消 息 传 输 的 安 全 , 终 端 包 含 API客 户 端 应 用 程 序 、 IoT设 备 的安 全 、 监 管 政 策 的 安 全 风 险 等 。 从 安 全 场 景 分 类 的 角 度 来 看 , API 安 全 包 含 了 网 络 安 全 、 Web应 用 安 全 、 安 全 开 发 、 监 管 合 规 多 个 方 面 。 在 网 络 层 面 , API安 全 主 要 关 注 客 户 端 与 API 服 务器 端 之 间 的 通 信 安 全 ; 在 Web应 用 层 面 , 重 点 关 注 API客 户 端 与 API服 务 器 端 之 间 的 协 议 规 范 、账 号 的 安 全 、 应 用 安 全 审 计 、 常 见 的 API漏 洞 以 及 如 何 通 过 API安 全 设 计 规 避 这 些 安 全 问 题 ;在 安 全 开 发 层 面 , 从 API生 命 周 期 的 角 度 , 结 合 SDL或 DevSecOps模 型 来 综 合 管 理 API开 发 过程 的 安 全 性 ; 在 监 管 合 规 层 面 , 需 要 结 合 法 律 法 规 和 行 业 监 管 要 求 , 考 虑 API数 据 隐 私 保 护 和合 规 性 设 计 。版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 6API安 全 建 设 白 皮 书2.1. API防 护 缺 失 已 成 业 务 和 数 据 安 全 最 大 风 险 敞 口2021年 IBM Security X-Force 报 告 中 指 出 , 其 分 析 的 数 据 安 全 事 件 中 有 三 分 之 二 是 由 不安 全 的 API 造 成 的 。 据 Gartner提 供 的 数 据 显 示 , 到 2025年 , 由 于 API的 爆 炸 式 增 长 超 过 了API 管 理 工 具 的 能 力 , 将 有 50%的 企 业 出 现 API 安 全 防 护 缺 位 , 并 且 有 90%的 企 业 仅 能 为 其 公开 发 布 的 API进 行 保 护 , 而 其 它 API则 不 受 监 控 , 并 且 大 部 分 企 业 缺 乏 API安 全 的 实 践 经 验 。Gartner因 此 预 测 , 到 2022年 , API滥 用 将 成 为 导 致 企 业 Web应 用 程 序 数 据 泄 露 最 常 见 的 攻 击媒 介 , 甚 至 在 2024年 API安 全 问 题 引 起 的 数 据 泄 露 风 险 将 翻 倍 。下 图 是 近 些 年 一 些 典 型 的 因 API漏 洞 导 致 的 攻 击 事 件 :事 件 主 体 事 件 经 过Facebook 第 三 方 应 用 通 过 API 获 取 5 千 万 用 户 数 据 , 并 用 以 政 治 广 告 投 放Linkedin 因 为 API滥 用 导 致 泄 漏 7 亿 用 户 的 姓 名 、 邮 件 、 手 机 号 码 、 行 业 等 信 息微 博 通 讯 录 匹 配 查 询 API 被 撞 库 , 导 致 5 亿 用 户 信 息 泄 漏美 国 邮 政 UPS 因 API 认 证 漏 洞 导 致 6000 万 用 户 信 息 泄 漏淘 宝 两 个 API的 逻 辑 漏 洞 导 致 11 亿 的 用 户 购 物 信 息 泄 漏攻 防 演 练 企 业 OA 系 统 任 意 用 户 登 录 漏 洞 、 ajax.do文 件 上 传 漏 洞 、 任 意 文 件 上 传 漏 洞导 致 靶 标 系 统 被 攻 破 等API是 数 据 交 互 最 重 要 的 传 输 方 式 之 一 , 也 因 此 成 为 攻 击 者 窃 取 数 据 的 重 点 攻 击 对 象 。 与此 同 时 , 由 于 API 防 护 的 缺 失 , 企 业 对 外 暴 露 了 哪 些 API、 对 谁 开 放 API、 API 通 信 中 哪 些 敏感 数 据 在 流 动 等 问 题 都 未 得 到 应 有 的 重 视 。 攻 击 者 可 以 通 过 API认 证 授 权 漏 洞 、 数 据 过 度 暴 露 、数 据 可 遍 历 、 安 全 配 置 缺 陷 等 攻 击 API进 行 数 据 窃 取 和 业 务 攻 击 。2.2. API面 临 的 主 要 安 全 问 题2.2.1. API 资 产 不 可 见大 部 分 企 业 并 没 有 把 API资 产 纳 入 到 资 产 盘 点 的 范 畴 , 未 做 好 全 面 的 资 产 梳 理 工 作 ; 而 且版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 7API安 全 建 设 白 皮 书API随 着 业 务 的 变 更 也 在 持 续 的 迭 代 更 新 , 导 致 企 业 对 API进 行 安 全 测 评 时 遗 漏 了 部 分 资 产 或长 期 未 对 相 关 应 用 进 行 维 护 。 另 一 方 面 , API上 流 动 的 数 据 以 及 关 联 的 账 号 , 大 部 分 企 业 也 没有 将 其 纳 入 到 资 产 进 行 统 一 的 管 理 和 维 护 , 一 旦 某 类 API框 架 型 漏 洞 爆 发 或 被 黑 客 入 侵 时 无 法及 时 定 位 到 相 关 应 用 节 点 , 将 错 过 最 佳 的 应 急 响 应 时 间 。资 产 的 可 见 性 是 安 全 的 基 础 , API由 于 数 量 大 、 更 新 快 、 且 关 联 有 敏 感 数 据 和 账 号 的 变 更 ,导 致 API资 产 很 难 通 过 有 限 人 力 以 静 态 的 方 法 来 完 成 持 续 有 效 的 梳 理 。2.2.2. 攻 击 面 增 加随 着 云 计 算 技 术 的 广 泛 应 用 , 越 来 越 多 的 业 务 迁 移 上 云 , 云 原 生 的 开 发 基 于 微 服 务 架 构 和k8s等 弹 性 扩 容 模 式 , 相 较 于 传 统 数 据 中 心 的 单 点 调 用 , API成 为 模 块 间 通 讯 的 标 准 , 业 务 逻辑 分 散 在 多 个 微 服 务 模 块 , 无 论 东 西 向 和 南 北 向 都 有 无 数 的 API, 每 个 API可 能 成 为 一 个 攻 击面 , 从 而 导 致 需 要 防 范 的 攻 击 面 比 原 来 要 大 很 多 。API 常 见 的 攻 击 面 :攻 击 面 说 明认 证 授 权 存 在 漏 洞引 入 攻 击 面 某 些 API在 设 计 之 初 对 身 份 认 证 的 设 计 存 在 不 足 或 者 缺 失 , 导 致 攻 击 者可 以 进 行 未 授 权 或 者 越 权 攻 击 , 可 以 通 过 API任 意 访 问 访 问 数 据 权 限 设 计 不 合 理 , 致 使 用 户 A可 以 访 问 到 属 于 同 一 角 色 的 用 户 B的 数 据 ,出 现 水 平 越 权 访 问 的 攻 击 ; 或 者 普 通 权 限 A 用 户 可 以 操 作 管 理 员 B用 户的 功 能 , 出 现 垂 直 越 权 的 攻 击 密 码 安 全 性 校 验 不 足 , 攻 击 者 可 利 用 弱 密 码 发 起 攻 击 , 进 行 账 号 的 破 解输 入 参 数 校 验 不 严引 入 攻 击 面 在 API设 计 和 迭 代 的 过 程 中 , 研 发 人 员 对 API 的 入 参 缺 少 校 验 或 者 校 验 不 严格 , 可 能 会 被 攻 击 者 利 用 构 造 的 输 入 来 进 行 注 入 类 攻 击 如 SQL、 XSS、 SSRF,或 者 利 用 参 数 遍 历 与 用 户 身 份 进 行 组 合 带 来 越 权 类 攻 击设 计 不 合 理 引 入 攻击 面 数 据 权 限 , 某 些 API在 设 计 时 为 兼 容 多 个 功 能 会 将 过 多 的 数 据 杂 糅 到 一起 返 回 至 前 端 , 或 者 将 脱 敏 和 明 文 数 据 一 起 返 回 , 然 后 由 前 端 去 筛 选 相关 的 数 据 。 这 导 致 API返 回 过 多 的 数 据 , 攻 击 者 可 通 过 流 量 拦 截 等 手 段获 取 API原 始 返 回 的 数 据 , 从 而 存 在 数 据 泄 漏 的 隐 患版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 8API安 全 建 设 白 皮 书 对 于 登 录 场 景 类 , API在 出 错 提 示 时 对 错 误 信 息 展 示 的 过 于 详 细 , 攻 击者 可 以 利 用 提 示 信 息 来 进 行 撞 库 扫 号 攻 击 API 未 对 传 输 数 据 进 行 加 密 设 计 而 直 接 进 行 明 文 传 输 , 攻 击 者 可 通 过 网络 嗅 探 等 手 段 直 接 获 取 API的 交 互 格 式 以 及 数 据 , 通 过 对 获 取 的 数 据 进行 分 析 , 并 进 行 下 一 步 的 攻 击 API 设 计 时 没 有 考 虑 到 重 放 逻 辑 、 频 率 限 制 、 事 务 完 整 性 逻 辑 等 业 务 侧逻 辑 的 问 题 , 导 致 攻 击 者 可 以 通 过 重 放 、 修 改 参 数 等 方 式 来 完 成 金 额 修改 , 篡 改 交 易 的 攻 击 代 码 实 现 上 存 在 逻 辑 bug, 导 致 攻 击 者 可 利 用 bug来 进 行 攻 击安 全 配 置 缺 陷 引 入攻 击 面 允 许 web 服 务 器 任 意 目 录 浏 览 、 未 关 闭 HTTP 标 头 配 置 、 没 有 打 开 一 些认 证 授 权 配 置 开 关 未 修 改 业 务 系 统 的 缺 省 口 令 , 导 致 攻 击 者 可 使 用 缺 省 的 口 令 来 进 行 登 录 将 内 部 系 统 部 署 在 公 网使 用 易 受 攻 击 和 过时 的 组 件 引 入 的 攻击 面 开 发 过 程 中 引 入 开 源 或 第 三 方 插 件 、 模 块 、 框 架 等 , 引 用 的 第 三 方 的 软件 或 模 块 存 在 安 全 问 题 时 , 势 必 会 导 致 代 码 中 的 漏 洞 、 恶 意 代 码 、 “ 后门 ” 等 安 全 隐 患 被 引 入 至 API接 口 中 使 用 的 开 源 或 第 三 方 组 件 的 版 本 过 低 , 存 在 漏 洞 可 以 被 攻 击2.2.3. API 攻 击 更 加 隐 蔽API是 需 要 开 放 给 用 户 来 使 用 的 , 具 备 开 放 性 和 承 载 业 务 逻 辑 的 特 点 , 攻 击 者 可 以 和 正 常用 户 一 样 来 调 用 API, 导 致 攻 击 者 的 流 量 隐 藏 在 正 常 用 户 的 流 量 里 面 , 其 攻 击 行 为 会 更 加 隐 蔽 ,更 难 发 现 。一 些 常 见 的 攻 击 行 为 : 高 频 访 问 行 为 : API接 口 在 设 计 之 初 未 对 API 接 口 访 问 频 率 做 限 制 , 使 攻 击 者 在 短 时 间 内可 以 访 问 大 量 API接 口 , 很 短 的 时 间 就 可 以 完 成 如 营 销 作 弊 、 恶 意 注 册 等 攻 击 , 甚 至 可 能版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 9API安 全 建 设 白 皮 书带 来 CC攻 击 。 大 量 数 据 下 载 行 为 : API 接 口 未 对 用 户 某 个 时 段 内 的 下 载 次 数 、 下 载 内 容 大 小 等 做 限 制 ,导 致 攻 击 者 可 以 通 过 多 次 下 载 达 到 获 取 大 量 数 据 的 目 的 , 容 易 造 成 大 量 敏 感 数 据 泄 漏 。 网 络 爬 虫 行 为 : API接 口 的 开 放 性 , 如 果 没 有 设 置 反 爬 虫 安 全 策 略 , 则 攻 击 者 可 以 使 用 代理 IP或 修 改 User-Agent请 求 头 隐 匿 身 份 , 通 过 信 息 收 集 获 取 企 业 内 部 系 统 账 号 , 利 用 网络 爬 虫 爬 取 账 号 权 限 以 及 开 放 在 公 网 上 所 有 的 API接 口 数 据 , 导 致 大 量 数 据 泄 漏 。 动 态 代 理 IP 低 频 爬 虫 行 为 : 如 果 API 有 频 率 限 制 和 反 爬 策 略 , 攻 击 者 会 还 会 利 用 大 量 的动 态 代 理 IP, 低 频 慢 速 的 方 式 来 绕 过 现 有 的 防 御 措 施 , 遍 历 爬 取 数 据 、 进 行 恶 意 注 册 或 者营 销 作 弊 。 接 口 滥 用 : 如 果 API没 有 对 使 用 者 的 身 份 进 行 校 验 , 缺 少 白 名 单 检 查 、 缺 失 验 证 码 进 行 人机 校 验 的 逻 辑 , 攻 击 者 会 利 用 企 业 的 API 可 以 任 意 跳 转 URL、 任 意 短 信 发 送 等 功 能 来 完 成攻 击 , 消 耗 企 业 的 短 信 费 用 , 给 企 业 带 来 负 面 的 社 会 影 响 。2.2.4. 监 管 合 规 性 挑 战近 几 年 , 随 着 国 家 层 面 网 络 空 间 治 理 的 不 断 深 入 , 满 足 合 规 性 要 求 成 为 每 一 个 企 业 正 常 业务 开 展 的 必 要 条 件 。 自 2016 年 以 来 , 我 国 陆 续 出 台 了 一 系 列 的 法 律 法 规 来 监 管 数 据 的 安 全 问题 , 从 2017 年 6 月 网 络 安 全 法 的 落 地 实 施 , 再 到 被 称 为 “ 数 据 安 全 元 年 ” 的 2021 年 。在 2021 年 , 数 据 安 全 法 个 人 信 息 保 护 法 等 法 律 法 规 陆 续 正 式 实 施 , 国 家 网 信 办 发 布 数 据 出 境 安 全 评 估 办 法 (征 求 意 见 稿 ) 并 公 开 征 求 意 见 。 从 这 一 系 列 法 律 法 规 中 可 以 看 出 ,我 国 对 企 业 的 数 字 安 全 监 管 确 实 在 走 向 更 加 严 格 和 规 范 化 , 聚 焦 的 内 容 更 加 细 化 , 处 罚 的 力 度也 逐 渐 加 强 。 对 企 业 而 言 , 围 绕 数 据 的 全 生 命 周 期 从 数 据 采 集 、 存 储 、 访 问 、 使 用 、 销 毁 构 建数 据 安 全 的 体 系 成 为 重 点 的 安 全 建 设 工 作 。目 前 , 大 多 数 企 业 在 数 据 采 集 、 存 储 、 数 据 库 访 问 方 面 做 了 比 较 全 面 的 安 全 建 设 , 在 数 据的 流 动 访 问 方 面 的 安 全 建 设 的 意 识 也 正 逐 步 萌 芽 和 发 展 ; 而 API作 为 连 接 数 据 与 应 用 的 主 要 通道 , 成 为 了 数 据 传 输 中 最 薄 弱 的 环 节 之 一 , 传 统 的 WAF、 IPS类 安 全 设 备 关 注 点 不 在 数 据 安 全 ,API这 个 点 目 前 的 安 全 防 护 比 较 薄 弱 , 所 以 API很 容 易 成 为 攻 击 者 眼 中 窃 取 数 据 的 头 号 目 标 。金 融 行 业 标 准 JR/T 0185-2020 商 业 银 行 应 用 程 序 接 口 安 全 管 理 规 范 中 , 更 是 从 API类 型 与 安 全 设 计 、 开 发 、 部 署 、 集 成 、 运 维 等 生 命 周 期 角 度 , 对 API的 管 理 提 出 多 方 面 的 合 规版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 10API安 全 建 设 白 皮 书性 要 求 。 这 些 标 准 或 规 范 为 企 业 的 API安 全 实 践 提 供 方 向 性 指 引 , 同 时 也 为 API的 合 规 提 供 可落 地 标 准 。 企 业 完 成 了 此 类 合 规 的 挑 战 , 才 能 更 好 地 开 展 业 务 。下 图 所 示 为 这 几 年 来 的 数 据 相 关 法 规 的 处 罚 细 化 说 明 :2.3. 小 结从 攻 击 视 角 来 看 , 当 越 来 越 多 的 企 业 通 过 API对 外 开 放 业 务 能 力 , 意 图 共 建 生 态 时 , 账 号 、营 销 、 数 据 方 面 的 安 全 漏 洞 可 以 被 攻 击 者 直 接 快 速 获 利 , 而 且 当 前 企 业 在 这 块 的 安 全 防 护 意 识才 刚 刚 开 始 萌 芽 , 这 种 新 型 的 攻 击 面 充 满 诱 惑 。 攻 击 者 的 动 机 越 强 、 攻 击 手 段 越 多 、 造 成 的 危害 越 强 , 给 企 业 的 防 御 带 来 的 挑 战 就 会 越 大 。3. API 全 生 命 周 期 安 全 防 护由 于 云 计 算 的 快 速 发 展 , 越 来 越 多 的 企 业 将 应 用 和 数 据 迁 移 至 云 端 , 并 暴 露 核 心 业 务 能 力和 流 程 相 关 的 API为 外 部 合 作 伙 伴 提 供 服 务 。 脱 离 了 传 统 的 内 网 或 网 络 区 域 划 分 , 云 上 应 用 的开 发 和 集 成 、 云 端 管 理 API, 被 潜 在 的 商 业 合 作 伙 伴 及 攻 击 者 使 用 , 无 形 中 使 得 API安 全 风 险增 大 。版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 11API安 全 建 设 白 皮 书对 大 多 数 企 业 而 言 , 很 难 完 全 掌 握 系 统 全 部 API; 开 发 人 员 往 往 也 只 是 熟 悉 自 己 开 发 的 相关 模 块 , 且 很 多 技 术 开 发 人 员 认 为 采 纳 新 的 、 酷 的 技 术 更 重 要 , 在 技 术 路 线 上 选 择 新 的 特 性 ,忽 视 API是 否 被 攻 击 。 在 这 种 缺 少 API安 全 性 管 理 平 台 又 未 建 立 全 面 系 统 的 API安 全 治 理 体 系的 情 况 下 , API安 全 风 险 更 不 可 控 。3.1. API安 全 设 计 的 指 导 原 则安 全 架 构 设 计 有 很 多 的 安 全 设 计 原 则 , 比 如 公 开 设 计 原 则 、 权 限 最 小 化 、 开 放 最 小 化 、 默认 不 信 任 等 。 安 全 设 计 原 则 需 要 不 断 的 学 习 和 培 训 , 让 安 全 设 计 人 员 和 研 发 都 能 融 会 贯 通 。 API 作 为 业 务 系 统 新 的 边 界 , 从 设 计 的 角 度 来 保 障 好 API 这 个 新 的 边 界 , 有 两 个 基 本 的 原 则 可以 参 考 , 分 别 是 5A原 则 和 纵 深 防 御 原 则 。3.1.1. 5A原 则5A 原 则 是 指 Authentication( 身 份 认 证 ) 、 Authorization( 授 权 ) 、 Access Control( 访 问 控 制 ) 、 Auditable( 可 审 计 性 ) 、 AssetProtection( 资 产 保 护 ) 5个 部 分 的 首 字 母 缩写 , 其 含 义 是 当 安 全 设 计 人 员 在 做 安 全 设 计 时 , 需 要 从 这 5个 方 面 考 量 安 全 设 计 的 合 理 性 。 如果 某 一 个 方 面 缺 失 , 则 在 安 全 设 计 上 是 不 全 面 的 。 身 份 认 证 , 解 决 “ 你 是 谁 ” 的 问 题 , 目 的 是 为 了 知 道 谁 在 与 API 服 务 进 行 通 信 , 是 否 是 API服 务 允 许 的 客 户 端 请 求 。 一 些 需 要 权 限 才 能 访 问 的 API服 务 , 需 要 知 道 谁 在 请 求 , 是 否允 许 请 求 , 以 保 障 API接 口 调 用 的 安 全 性 。 认 证 方 式 主 要 有 用 户 名 /密 码 认 证 、 动 态 口 令 、数 字 证 书 认 证 、 生 物 特 征 认 证 等 。 对 于 安 全 性 的 要 求 比 较 高 的 业 务 , 可 使 用 双 因 子 认 证 ( 2FA) 或 多 因 子 认 证 ( MFA) 。 常 见 的 组 合 有 用 户 名 /密 码 +短 信 挑 战 码 、 用 户 名 /密 码 +动 态令 牌 、 用 户 名 /密 码 +人 脸 识 别 、 人 脸 识 别 +短 信 挑 战 码 等 。 认 证 通 常 融 入 单 点 登 录 SSO 系统 中 , 使 用 统 一 的 入 口 来 完 成 身 份 认 证 , 减 少 攻 击 面 。 授 权 , 解 决 “ 你 可 以 访 问 什 么 数 据 和 资 源 ” 的 问 题 , 通 常 发 生 在 身 份 认 证 之 后 , 即 对 服 务来 说 , 谁 在 请 求 我 , 这 个 请 求 是 有 权 限 的 么 ? 某 些 API只 有 特 定 的 角 色 才 可 以 访 问 , 比 如只 有 内 网 的 IP才 可 以 调 用 某 些 服 务 、 只 有 管 理 员 用 户 才 可 以 调 用 删 除 用 户 的 API。版 权 所 有 : 深 圳 永 安 在 线 科 技 有 限 公 司 12API安 全 建 设 白 皮 书 访 问 控 制 , 解 决 “ 你 所 访 问 具 体 的 数 据 和 功 能 是 否 被 允 许 ” 的 问 题 , 通 常 发 生 在 授 权 之 后 ,很 多 情 况 下 , 对 于 某 个 角 色 的 权 限 设 置 正 确 , 但 访 问 控 制 做 的 不 一 定 正 确 , 这 也 是 存 在 很多 越 权 操 作 的 原 因 。 访 问 控 制 是 对 授 权 后 的 客 户 端 访 问 时 的 正 确 性 验 证 。 某 个 角 色 , 对 于不 具 备 访 问 权 限 的 API却 可 以 直 接 调 用 , 问 题 就 出 在 访 问 控 制 上 。 授 权 和 访 问 控 制 常 常 是一 起 来 进 行 的 , 有 两 种 方 式 可 以 参 考 : 一 是 基 于 使 用 者 身 份 代 理 的 授 权 与 访 问 控 制 , 典 型的 以 OAuth 2.0协 议 为 代 表 , 对 于 API的 授 权 和 可 访 问 资 源 的 控 制 依 赖 于 使 用 者 的 身 份 ,使 用 者 可 能 是 某 个 自 然 人 用 户 , 也 可 能 是 某 个 客 户 端 应 用 程 序 , 当 得 到 使 用 者 的 授 权 许 可后 , 即 可 访 问 该 使 用 者 授 权 的 资 源 ; 另 一 类 是 基 于 使 用 者 角 色 的 授 权 与 访 问 控 制 , 典 型 的以 RBAC 模 型 为 代 表 , 对 于 API 的 授 权 和 资 源 访 问 依 赖 于 使 用 者 在 系 统 中 被 授 予 的 角 色 和分 配 的 权 限 , 不 同 的 角 色 拥 有 不 同 的 权 限 , 比 如 功 能 权 限 、 数 据 权 限 , 访 问 资 源 时 依 据 此角 色 分 配 的 权 限 的 不 同 可 以 访 问 不 同 的 资 源 。 可 审 计 性 , 解 决 “ 你 所 做 的 操 作 能 够 被 溯 源 ” 的 问 题 , 目 的 是 为 了 记 录 API 调 用 时 的 关 键信 息 , 以 便 事 后 能 够 通 过 审 计 手 段 及 时 发 现 问 题 , 并 在 发 生 问 题 时 通 过 审 计 日 志 进 行 溯 源 ,找 出 问 题 的 发 生 点 。 一 般 记 录 API日 志 需 要 有 : 什 么 人 ( 账 号 、 UA信 息 ) 、 在 什 么 时 间 、利 用 什 么 IP( 在 什 么 地 方 ) 、 调 用 了 什 么 API( 做 了 什 么 ) 、 操 作 的 结 果 是 什 么 、 操 作 API时 的 Referer是 什 么 等 。 资 产 保 护 , 解 决 “ 阻 止 API被 滥 用 ” 的 问 题 , 主 要 是 指 对 API接 口 自 身 的 保 护 , 比 如 限 速 、限 流 , 防 止 恶 意 调 用 , 以 及 对 API接 口 传 输 的 敏 感 数 据 如 身 份 证 、 手 机 号 码 、 银 行 卡 号 等的 保 护 。3.1.2. 纵 深 防 御 原 则纵 深 防 御 这 个 词 来 源 于 军 事 术 语 , 是 指 在 前 方 到 后 方 之 间 , 构 建 多
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642