OWASP API Security Top 10解讀
API安全的重要性早就得到了網(wǎng)安業(yè)界的高度重視。OWASP在2019年首次提出了API Security Top 10,總結(jié)了API安全面臨的十大風(fēng)險(xiǎn),為企業(yè)的API安全防護(hù)提供了重要參考。隨著API安全形勢(shì)的不斷變化、相關(guān)安全實(shí)踐的不斷加深,OWASP在2023年發(fā)布了API Security Top 10的內(nèi)容更新。相比2019的舊版本,此次更新進(jìn)一步強(qiáng)調(diào)了API攻擊場(chǎng)景與WEB攻擊的差異化,突出API授權(quán)管理、資產(chǎn)管理、業(yè)務(wù)風(fēng)控等問(wèn)題。通過(guò)新舊版本的對(duì)比,我們能直觀的看到API安全風(fēng)險(xiǎn)的變化趨勢(shì):在2023年的API Security Top 10,認(rèn)證和授權(quán)相關(guān)的風(fēng)險(xiǎn)占了4條,分別是對(duì)象級(jí)別授權(quán)失效BOLA(API 1)、身份認(rèn)證失效(API 2)、對(duì)象屬性級(jí)別授權(quán)失效(API 3)、功能級(jí)別授權(quán)失效(API 5)。API漏洞與攻擊相關(guān)的風(fēng)險(xiǎn)占了3條,分別是資源消耗無(wú)限制(API 4)、服務(wù)端請(qǐng)求偽造SSRF(API 6)、缺少對(duì)自動(dòng)化威脅的防護(hù)(API 8)。API資產(chǎn)管理與安全配置相關(guān)風(fēng)險(xiǎn)占了3條,分別是錯(cuò)誤的安全配置(API 7)、存量資產(chǎn)管理不當(dāng)(API 9)、不安全的第三方API(API 10)。明確了API面連的安全風(fēng)險(xiǎn),API安全防護(hù)的要點(diǎn)也就呼之欲出:1.強(qiáng)化API訪問(wèn)鑒權(quán),實(shí)現(xiàn)最小化授權(quán)將訪問(wèn)鑒權(quán)的范圍從“人”擴(kuò)展為“人+機(jī)”,基于身份信息實(shí)現(xiàn)最小化的API訪問(wèn)授權(quán),避免攻擊者利用API授權(quán)漏洞,非法獲取敏感數(shù)據(jù)或者完全掌控賬戶(API 1),偽造和盜用合法身份信息(API 2),越權(quán)訪問(wèn)信息和資源(API 3),非法獲取API請(qǐng)求(API 5)。2.監(jiān)控API訪問(wèn)流量,實(shí)時(shí)發(fā)現(xiàn)并阻斷攻擊實(shí)時(shí)監(jiān)控API訪問(wèn)流量,及時(shí)發(fā)現(xiàn)異常訪問(wèn)行為,防范DoS攻擊(API 4)、內(nèi)部服務(wù)枚舉和信息泄露(API 6),自動(dòng)監(jiān)測(cè)并防御惡意軟件、蠕蟲(chóng)病毒、僵尸網(wǎng)絡(luò)等自動(dòng)化威脅(API8)。3.統(tǒng)一管理API資產(chǎn),規(guī)范API安全設(shè)置建立縱覽全局的API資產(chǎn)管理體系(API 9),監(jiān)測(cè)API安全狀態(tài)并修補(bǔ)API安全漏洞(API10),通過(guò)代理API實(shí)現(xiàn)API安全配置的統(tǒng)一管理(API 7),最終建立API的全生命周期管理機(jī)制。芯盾時(shí)代零信任安全API網(wǎng)關(guān)
芯盾作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商,以零信任理念賦能API安全,基于增強(qiáng)型IAM、零信任網(wǎng)絡(luò)訪問(wèn)等技術(shù),打造了零信任安全API網(wǎng)關(guān)(ZAG),為企業(yè)提供API接口的統(tǒng)一代理,幫助企業(yè)實(shí)現(xiàn)API的訪問(wèn)認(rèn)證、數(shù)據(jù)加密、安全防護(hù)、應(yīng)用審計(jì),構(gòu)筑API的全生命周期管理能力。針對(duì)后端API的安全需求,安全認(rèn)證鑒權(quán)、流量控制、自動(dòng)熔斷等安全策略,大幅提升后端服務(wù)的開(kāi)發(fā)效率和維護(hù)效率。芯盾時(shí)代零信任安全API網(wǎng)關(guān)(ZAG),具備以下優(yōu)勢(shì):1.統(tǒng)一代理API接口,實(shí)現(xiàn)API資產(chǎn)規(guī)范管理由API網(wǎng)關(guān)提供API統(tǒng)一入口,對(duì)不同系統(tǒng)訪問(wèn)協(xié)議進(jìn)行規(guī)范統(tǒng)一,用標(biāo)準(zhǔn)化的協(xié)議實(shí)現(xiàn)系統(tǒng)集成,提高安全管理效率,避免因?yàn)锳PI配置不當(dāng)導(dǎo)致的安全問(wèn)題。網(wǎng)關(guān)提供可視化儀表盤,對(duì)API調(diào)用情況進(jìn)行統(tǒng)計(jì)并監(jiān)控,包括調(diào)用量、調(diào)用狀態(tài)、成功率、訪問(wèn)源等,幫助企業(yè)快速掌握API資產(chǎn)情況,及時(shí)發(fā)現(xiàn)不安全的API。2.強(qiáng)化API安全認(rèn)證鑒權(quán),實(shí)現(xiàn)最小化授權(quán)將訪問(wèn)鑒權(quán)的范圍從“人”擴(kuò)展為“人+機(jī)”,支持多維度的前端用戶接入訪問(wèn)認(rèn)證,提升身份鑒權(quán)的安全性,只有通過(guò)認(rèn)證的用戶、客戶端、程序才能進(jìn)一步訪問(wèn)API代理發(fā)布的服務(wù)。基于身份信息和API狀態(tài),對(duì)API訪問(wèn)進(jìn)行最小化授權(quán),保證API中敏感數(shù)據(jù)的精細(xì)管控,避免因權(quán)限管理漏洞、過(guò)度授權(quán)導(dǎo)致的安全問(wèn)題。3.精細(xì)管控API流量,全鏈路保證API安全網(wǎng)關(guān)采用同步+異步混合流控的方式,通過(guò)多種算法,實(shí)現(xiàn)精細(xì)化的秒級(jí)流控,同時(shí)提供靈活自定義的流量控制策略,針對(duì)異常調(diào)用進(jìn)行主動(dòng)熔斷和被動(dòng)熔斷,保障API服務(wù)的穩(wěn)定性和連續(xù)性。網(wǎng)關(guān)能夠與API安全監(jiān)測(cè)平臺(tái)聯(lián)動(dòng),實(shí)時(shí)阻斷賬號(hào)暴力破解、未授權(quán)訪問(wèn)等風(fēng)險(xiǎn)行為,全鏈路保障API安全。4.開(kāi)箱即用,一站式實(shí)現(xiàn)API全生命周期管理網(wǎng)關(guān)只需要在管理控制臺(tái)中配置,即可快速創(chuàng)建API;提供頁(yè)面調(diào)試工具,簡(jiǎn)化API開(kāi)發(fā);可同時(shí)發(fā)布一個(gè)API到多個(gè)環(huán)境,快速迭代、測(cè)試API,幫助企業(yè)實(shí)現(xiàn)API設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、發(fā)布、運(yùn)維監(jiān)測(cè)、安全管控、下線的一站式全生命周期管理。借助芯盾時(shí)代零信任安全API網(wǎng)關(guān),企業(yè)能夠快速建立API安全多層防護(hù)機(jī)制,防范API攻擊,保證API的安全利用。零信任安全API網(wǎng)關(guān)與芯盾時(shí)代API安全監(jiān)測(cè)平臺(tái)搭配使用,能夠?yàn)槠髽I(yè)建立覆蓋“策略→防護(hù)→檢測(cè)→響應(yīng)”的API安全防護(hù)體系,讓企業(yè)的API更開(kāi)放、更安全。
往期 · 推薦
350種類型、10W+量級(jí)的API,企業(yè)應(yīng)該怎么管?
【喜訊】芯盾時(shí)代入選《2022中國(guó)網(wǎng)絡(luò)安全十大創(chuàng)新方向》API安全防護(hù)典型廠商
【喜訊】芯盾時(shí)代入選《API安全產(chǎn)品及服務(wù)購(gòu)買指南》 以零信任破解API安全難題
【喜訊】芯盾時(shí)代榮獲中國(guó)信通院“零信任最受行業(yè)歡迎廠商”
原文標(biāo)題:數(shù)字化時(shí)代,API網(wǎng)關(guān)為何如此重要?
文章出處:【微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
-
芯盾時(shí)代
+關(guān)注
關(guān)注
0文章
180瀏覽量
1784
原文標(biāo)題:數(shù)字化時(shí)代,API網(wǎng)關(guān)為何如此重要?
文章出處:【微信號(hào):trusfort,微信公眾號(hào):芯盾時(shí)代】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論