API安全应用场景系列开篇

admin 2022年8月28日21:21:30安全文章评论0 views1927字阅读6分25秒阅读模式


API安全应用场景系列开篇


 开 篇 

imperva.com/zh


本周开始我们希望后面每周分享一篇关于API安全应用场景的文章。

为什么会有这个系列?


API安全应用场景系列开篇



数字化转型推动API的广泛使用

API安全应用场景系列开篇


在我们早期发布的博文中已经分享了IDC的研究报告,也印证了上面描述的趋势

API安全应用场景系列开篇



API安全应用场景系列开篇



传统应用和API应用的架构区别

API安全应用场景系列开篇

● 传统应用更多的后台采用关系型数据库,数据的处理主要发生在应用服务器侧

● 现代应用(API应用)后台更多的采用非关系型数据库,以JSON数据格式传输,数据的处理主要发生在客户端APP侧




架构不同带来了安全防护重点的不同

API安全应用场景系列开篇


因为API应用会在客户端App侧针对原始的数据进行处理,这就意味着API安全更需要关注:

● 需要严格管理API的接口,否则很容易带来数据泄露

● API接口背后有大量的原始数据,越权问题是很大的挑战

● 原始数据中的敏感数据的管理需要

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板


因为架构的不同传统的一些高风险攻击优先级会下降:

● 因为后台数据库采用ORM架构,SQLi利用的可能会降低

● 因为认证头取代了传统的Cookie,因此CSRF利用的可能也会降低

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板


安全防护理念的差异:

● 传统的应用通常会有几百甚至上千个业务URL,为了确保应用的可用,通常采用的是黑名单防护机制(针对特定的攻击特征进行阻拦)

● API应用通常都只有几个,最多几十个业务URL,而且功能相对非常明确和单一,因此可以采用白名单机制来实现更加严格的安全策略

API安全应用场景系列开篇

固定布局                                                        
工具条上设置固定宽高
背景可以设置被包含
可以完美对齐背景图和文字
以及制作自己的模板



正确的理解API安全

imperva.com/zh

API安全应用场景系列开篇
API安全应用场景系列开篇


API管理更侧重在API生命周期的管理,包含了比较简单的访问控制功能

● 典型解决方案:API GW

● 负责团队:开发和运维团队


API安全保护侧重在API接口的保护,全面的安全防护

● 典型解决方案:API安全解决方案

● 负责团队:安全团队


API管理和API安全防护可以利用API的规范(OAS, Open API Specification)来统一对接标准

可访问网址了解更多:https://swagger.io/specification/



API安全应用场景系列开篇

因为API安全的热度上升,市场上涌现了很多的API安全解决方案或者部分功能。按照部署方式和工作原理划分,有以下这些种类:

#基于WAF GW的解决方案

● 将API的请求引流到Cloud WAF或者WAF GW上,分析和监控WAF GW上的API流量


● 优点:可以通过DNS方式引流给Cloud WAF,可以非常快捷的部署;Cloud WAF架构可以解密HTTPS流量,并实现恶意API请求的阻拦。


● 缺点:Cloud WAF主要覆盖南北向的流量


#基于日志收集和分析的解决方案

● 利用收集API网关或者其他设备的API访问日志来分析API请求


● 优点:直接获得API请求日志信息,无需担心HTTPS流量问题;


● 缺点:依赖于集成设备的日志,无法覆盖不经过API网关设备的API请求


#基于流量镜像的解决方案

● 利用网络探针分析镜像流量中的API请求


● 优点:可以选择流量镜像的节点,覆盖更多的API应用;不依赖其他设备的日志


● 缺点:无法解密HTTPS里的API请求


#基于代码功能或者Agent

● 将API的请求引流到Cloud WAF或者WAF GW上,分析和监控WAF GW上的API流量


● 优点:可以通过DNS方式引流给Cloud WAF,可以非常快捷的部署;Cloud WAF架构可以解密HTTPS流量,并实现恶意API请求的阻拦。


● 缺点:Cloud WAF主要覆盖南北向的流量


以上技术方案都有优缺点,在真实的防护场景中可能需要多种部署模式的结合


Imperva API Anywhere方案提供以上所有的部署方案,用户可以根据需要任意的组合。



API安全应用场景系列开篇



要做好API安全应该遵从完整有效的实践方法

API安全应用场景系列开篇



闭环的API安全防护方案

API安全应用场景系列开篇

API安全方案的关键在于能够闭环。


利用OAS标准化Swagger规范文件,Imperva WAF产品能够利用更加严格的白名单机制进行安全防护。



API安全应用场景系列开篇


API安全应用场景系列开篇

后续我们会针对在API安全的最佳实践方法中的四个阶段,发现、验证、检测、缓解每个阶段里的应用场景进行分别介绍。



●END●



欢迎联系 Imperva 了解更多信息


电话:+86 10 8587 2372

邮箱:[email protected]

API安全应用场景系列开篇
API安全应用场景系列开篇


原文始发于微信公众号(IMPERVA):API安全应用场景系列开篇

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日21:21:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  API安全应用场景系列开篇 http://cn-sec.com/archives/1256522.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: