不可混为一谈 API网关仅是API安全中的一部分

admin 2022年7月8日18:34:43安全闲碎评论1 views1448字阅读4分49秒阅读模式
不可混为一谈 API网关仅是API安全中的一部分

Gartner曾表示,到2023年,超过50%的B2B交易将通过实时API进行,而不是传统方式。

API的市场正在增长,与之相关的威胁形势也是如此。虽然API网关为API安全提供了各种核心功能,在API管理和API交付中扮演着至关重要的角色。然而,为了应对新出现的API风险需要各种更新且更复杂的技术,显然,这超出了传统API网关的范围。


在典型的微服务体系结构中,API网关是一个指令和协议管理工具,它处理来自客户端的请求,并决定将它们路由到哪些微服务以获得返回的响应。微服务对于API网关的效率有着更高的要求,而主流的云服务提供商也意识到API网关可以为企业提供更为便捷的方式去启动和运行他们的云服务。


当然,尽管API网关为开发人员提供了一个更可见的API调用的安全层,但仍有改进的空间。如果网关不能适应其资源,漏洞管理将成为一个难以置信的挑战。根据Gartner此前的预测,到2022年也就是今年,API滥用将从一种不常见的攻击方式变成最常见的攻击方式,从而导致企业网络应用的数据泄露。


总体而言,我们不能将API网关与API安全混为一谈,因为前者及其访问控制功能通常是API安全的一部分。开发人员确保应用程序正常工作,并按照他们的设计做他们想要做的事情,但攻击者才是那些找到聪明方法将应用程序变成武器的人。正如OWASP API十大安全文档所总结的那样,API安全威胁包括许多伴随传统Web应用程序攻击的漏洞。


可以看到,API网关的主要问题是在于它只能监控终端,采用包括身份验证、授权等方式来达到防护的目的,正如前文所说,它对于安全是有帮助的,但是在应对新的威胁时,单靠API网关的这些能力是远远不够的。


不可混为一谈 API网关仅是API安全中的一部分


这类较为传统的安全产品难以应对当前的API风险之外,以下几个问题也是API安全难以做到位的原因:


1、对自己所拥有的API资产不清晰。随着API数量急剧增长,令企业除了自身的资产之外,还会缺乏对合作伙伴、第三方的API总量的了解,这就令安全团队无法了解到企业真实的API暴露和风险情况。


2、企业对API安全的重视程度不够。很多企业总是会抱着一种侥幸的心理——“那么多的企业,为什么中招的一定会是我?”,另外就是在相关安全建设的投入上忽视了API安全领域。


而在更为具体的挑战方面,则体现在API风险感知和API威胁阻断这两大难题上。


那么API安全到底应该如何做?业内的永安在线提出的“基于情报建立API安全基线”的思路值得借鉴。


首先,通过旁路流量分析,能够以持续动态的方式去梳理API资产,做到只要API一上线或开始服务就能够被快速梳理出来,结合外部情报对流量分析的能力能够不断更新API识别的引擎,还可以保证API梳理的准确性。


其次,透过外部威胁情报和黑灰产情报的补充,既可以有效帮助发现实时风险,也能确保识别的准确性。运用情报的能力,可以捕获到攻击的流量、攻击中使用的自动化工具、攻击中使用的资源,在经过永安在线情报分析系统分析后,就可以清晰地了解哪些API遭受了攻击。


总体来说,尽管API安全管理面临诸多的痛点、难点,但也并非缺乏对策。一方面要从自身内部的管理层面入手不断加强,建立和完善相关制度建设,并培养相关人员的安全意识和素养,尽可能地避免甚至杜绝人为制造API安全问题的可能性。另一方面,还需要借助专业力量的支持,专业的API安全管理产品、解决方案,以快速建立起真正有效的API安全防线。


THE END

不可混为一谈 API网关仅是API安全中的一部分

原文始发于微信公众号(安全419):不可混为一谈 API网关仅是API安全中的一部分

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月8日18:34:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  不可混为一谈 API网关仅是API安全中的一部分 http://cn-sec.com/archives/1167487.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: