三大 API 安全最佳实践信息图

介绍

对于想要在新的数字经济中蓬勃发展的组织来说，维持现状根本行不通。传统的安全控制是静态的、不灵活的。它们是在客户端/服务器通信时代设计的，具有可预测的用户旅程和流量，远在 API 变得无处不在并成为当今数字体验的基石之前。

虽然通过注入零信任、最小特权访问和身份验证/授权原则来实现安全性现代化的努力已经取得成果，但游戏规则已经发生了变化。通过交易您的数字资产为您加油的应用游戏玩家不再是传统意义上的用户。越来越多的“用户”是来自 API 的业务逻辑调用，这些调用可能来自合作伙伴或生态系统集成，也可能来自客户或潜在客户。 API 的重要性也意味着它们成为攻击者的更大目标。

想要生存的组织必须保护其 API，并减轻分布式、不断变化的数字结构（横跨数据中心、私有/公共云和边缘）中意外和不可预见的风险。想要蓬勃发展的组织应该将战略努力集中在几个关键领域，以创建一个可预测、可扩展、自我防御的 API 安全平台，保护混合和多云环境中的数字接触点。

传统安全与现代安全

传统安全控制被广泛部署——被世界各地的组织用来保护商业机密和客户数据。公司采用流量检查来限制对敏感信息的访问，从而帮助确保隐私并防止数据盗窃。 API 网关中的速率限制等安全控制有助于缓解拒绝服务 (DoS) 攻击。 Web应用防火墙 (WAF) 中的网络抓取控制可防止价格等敏感信息受到泄露。此外，组织通常会结合使用多种安全工具，例如静态代码分析和动态应用安全测试，以解决许多常见风险，例如 OWASP Top 10 中的风险。

然而，在当今的数字世界中，传统的安全措施已经不够。这就是为什么这么多组织都采用现代安全控制，包括针对其分布式应用的身份验证（AuthN）、授权（AuthZ）和动态流量检查。

组织使用多因素身份验证、公钥证书、生物识别和其他方法来确认人员和设备的身份，并确保只有合法用户和受信任的机器才能访问他们的数据。授权只是向经过身份验证的用户授予适当的权限，确保他们可以访问完成工作所需的所有文件和数据，同时阻止他们查看他们不应该知道的其他信息。通过检查安全检查链中的应用流量、识别异常活动和潜在威胁以及提供会计或事件响应所需的任何见解，流量检查使公司能够最大限度地降低风险。

虽然这些控制措施已被广泛部署并被安全和风险团队所充分理解，但在从数据中心核心到客户边缘的大量数字接触点上实施它们是一项关键挑战。

自适应安全性的演进

安全越来越注重身份和验证。组织使用零信任和最小特权访问等方法来提高其安全性，默认情况下不信任用户或设备，并将他们的访问限制为他们所需的最低限度的信息，在许多情况下是通过预定的用例建模来实现的。公司还使用行为分析等方法来检测可能表明恶意用户存在潜在威胁的可疑行为，并使用基于风险的控制来加强身份验证过程，随着感知到的威胁级别的增加，身份验证过程变得更加严格。

图 1： 物联网连接了我们周围的世界并为我们的现代生活方式提供动力。

然而，当今的组织运营着复杂、互联的架构，这使得它们持续执行 AuthN 和 AuthZ 等安全策略的能力变得复杂。 IT 部门面临着工具扩张和管理异构环境的挑战，而“用户”可能是 API、服务或机器，而不是人类。建筑架构的日益复杂化和互联性要求风险管理发生范式转变。所需要的是跨平台可视性以及人工智能(AI) 和机器学习 (ML)，以便组织可以大规模关联数据洞察并快速补救新出现的威胁 - 这些功能现在可在 Web 应用程序和 API 保护即服务 (WAAPaaS) 平台中实现。

图 2： WAF 是一种随着时间的推移而不断发展的战略安全控制。

“选择安全即服务的首要原因是速度”¹

自适应基于身份的安全性

一套核心的跨平台应用服务与积极的运营模式相结合对于任何安全平台都至关重要，尤其是在保护 API 时。这些核心应用服务可能包括零信任和基于风险的管理以及微分段（隔离服务并在数据中心或云环境内访问它们）。另一个核心原则是本机纵深防御，它在整个平台上提供多层安全控制，以便在一种安全控制无法阻止有动机的攻击者时创建弹性。

强大的命名空间隔离可以分离资源以实现更高的安全性，而秘密管理则可以始终如一地执行现代架构中越来越常见的机器对机器通信的安全策略。