数据中心管理人员可以做些什么来保护API
2019-10-17 来源:天下数据IDC资讯
API使应用程序的特性更加丰富和动态,但它们也增加了攻击面。
API或应用程序编程接口是多个计算机程序相互通信的一种方式。例如,网站可以使用API从数据库请求信息或将信息传递给第三方服务。移动应用程序经常使用API将数据来回发送到中央服务器。传统的网站正迅速被高度交互的基于API的网站所取代。API也是企业应用程序的关键,它取代了原有的信息交换机制。
根据Akamai公司今年早些时候发布的一份报告,API调用现在占所有Web流量的83%。这意味着提供了功能更强大、功能更丰富的应用程序,但同时也意味着更大的安全风险。根据调研机构Gartner公司的调查,到2021年,将有90%的启用Web的应用程序以暴露的API而非用户界面的形式具有更大的攻击面,而2019年为40%。到2022年,API滥用将成为最常见的攻击。
例如,麦当劳公司的API公开了其移动交付应用程序用户的个人数据。由于API导致数据泄露的其他公司包括Facebook、Twitter、Panera Bread、T-Mobile、Instagram、Salesforce和Snapchat。甚至美国国税局也遭遇了API数据泄漏的事件。
总部位于波士顿的安全机构Cybereason公司的首席信息安全官Israel Barak表示,“在过去的五六年中,API成为越来越大的问题。业务、系统和应用程序之间的互连性的增加加速了面向公众的API的采用。然后便是微服务和容器等服务的使用。” 以一个用于预订航班的网络应用为例。如果它是传统的整体应用程序,则用户将选择一个航班,获取报价,付款并预定。他们将按顺序完成所有这些步骤。Barak说,“交易过程确保第一步发生在第二步之前。”
现在,网络上的同一应用程序可能是一组独立功能,每个功能都调用一个单独的API。一个乘客可能会向支付系统发送请求。另一个乘客可能会向航空公司发送预订航班的请求。利用公开的API,黑客可以跳过付款步骤而直接进入预订步骤。此外,攻击者也可能劫持确认所有用户信息,并获取其他客户的姓名、地址和付款明细的API。
有时,即使是完全无害的API也会造成损害,Barak说。例如,在用户选择城市所在的国家/地区后,网络表单通常会提供城市列表。如果城市列表是通过API提供的,则攻击者可以发送大量假请求,足以关闭该特定服务-并使整个Web表单停止运行。Barak说,“而且不能使用验证码,因为另一边没有人。”
总部位于圣马特奥的网络安全机构PerimeterX公司联合创始人兼首席技术官Ido Safruti表示,当人们使用API来验证信用卡且访问权限未得到适当锁定时,还会发生另一种常见的API滥用。他说:“我可以直接采用API并尝试验证被盗的信用卡或者礼品卡,这更容易,因为不需要用户的姓名或邮政编码。” 他补充说,“这种第三方API的使用非常难以锁定。作为数据中心运营商,如果其应用程序在数据中心之外调用API,那么可能对此完全一无所知。”
从后台到前台 在以往,企业的应用程序在内部网络内相互通信,可以安全地隐藏在防火墙后面。应该说,这意味着访问和身份验证问题对开发人员的压力并不大。实施大量安全检查会很麻烦,会减慢开发速度并干扰功能。如今,在混合数据中心和万物实现云化的情况下,但API并没有企业的防火墙防护,但是开发人员经常忘记这一事实,并意外地将其公开。
BTB Security公司顾问Humberto Gauna说,“保护API并不难。但这需要一定的资源,将会增加公司的成本。”他建议,在构建新的API时,企业应让安全专业人员参与早期阶段。
通常情况下,数据中心安全管理人员对开发人员如何编写其API并没有什么要求。但它们可以确保内部数据库和服务器得到适当的保护,并确保基于云计算的服务得到适当的配置。他们还可以为内部部署环境和云计算部署设置API网关。
API网关的优缺点 并非所有专家都认为API网关是一个好主意。
当企业通过一个或多个API网关汇集所有API流量时,它们可以确保基本的安全策略(如加密、身份验证和访问控制)得到充分实施。网关还可以执行其他操作,如负载均衡和DDoS保护。
可以为内部部署数据中心设置API网关,大多数主要的云计算提供商都将它们作为基础设施上托管的系统的服务来提供。Cybereason公司的Barak说,该过程从创建数据中心公开的所有API的目录开始。他说,“这是一个良好的安全平台的核心组成部分,但很多人没有采用它。使目录保持最新是很困难的,特别是当开发新的微服务并在几天甚至几小时内推出时。” 接下来,企业必须使用自己的令牌(例如API密钥或OpenID标识符)来标识每个API,并根据这些令牌控制对数据和服务的访问。Barak说,“没有授权令牌,企业的开发人员不能公开新的API,而是必须注册该API。”
最后,数据中心可以为API流量设置网关。他说,通过实施包括加密和签名的安全通道,数据中心可以对API安全性产生巨大影响。 但是一些专家说,要让企业的所有开发人员都参与进来可能很困难。
总部位于圣何塞的安全厂商Malwarebytes Labs的主管Adam Kujawa说,“这将是一个理想的选择。但是数据中心运营商不能强迫他们的客户这样做。但是,它可以做的是向其客户或企业用户提供API网关作为服务。如果他们不使用该服务,需要确保将它们隔离开来,以免感染数据中心的其他部分。” 另一个挑战是,API网关不能总是部署到所有平台上,并且提供商之间存在差异,这给管理带来了挑战。
此外,API网关可能是单点故障,并增加了复杂性和管理开销。总部位于帕洛阿尔托的应用程序安全供应商数据定理的首席运营官Doug Dooley说,“我们的客户正在构建微服务,其中一种应用程序具有难以置信的规模,并已在全球数十个数据中心中部署,有不同离散形式的代码,它们都通过API进行通信,企业中有成千上万个API。”
他说,“在这种情况下,试图通过API网关强制执行所有操作都是没有意义的。它不具有可扩展性或成本效益,绕过这个瓶颈很简单。”
FireMon公司技术联盟副总裁Tim Woods提出了一种API安全的分布式方法。这种方法可能更加动态和灵活。对于边缘计算应用程序来说,速度也更快。他说:“每当企业必须到中央清算仓库或中央网关时,都必须担心延迟。”
Barracuda 网络公司应用程序安全产品管理副总裁Nitzan Miron表示,企业在寻找基础设施中所有活动的API时也遇到了问题。当基础设施包括公共云时尤其如此。他说,“传统的网络资源清册(扫描IP范围)在IP都由公共云提供商甚至多个提供商动态分配的情况下是毫无价值的。”
但是他补充说, API网关工具已经日趋成熟,并且最近开始添加功能来正确审核和控制API访问。他说:“随着这些工具的成熟和易于使用,找到合适的工具并安装在所有公司的API和应用程序上而不会造成业务中断的挑战将会越来越小。”
【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】
延伸阅读:
- 省钱、省时、高效,Amazon Aurora Serverless全面解析
- AMD Scott Aylor:释放服务器的潜能,加速业务创新与高速发展
- 多云安全性:7个值得关注的问题
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。