欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。
本周,我们带来的分享如下:
-
来自NewStack的关于Kubernetes中API安全最佳实践的文章
-
关于API中被破坏的访问控制问题的文章
Kubernetes 中 API 安全的最佳实践
本周首先介绍的是Curity 团队关于 Kubernetes API 安全最佳实践的指导。
本文重点介绍入口控制器在保护基于 Kubernetes API 的实现中的作用:
• 第一个建议是为集群中的 Pod提供单点入口。虽然可以通过服务公开 pod 端口,但这种方法缺乏灵活性和可扩展性。更好的方法是利用入口控制器提供更丰富的企业功能阵列,例如基于名称的虚拟主机、路径映射、代理、缓存和安全功能,例如身份验证和 TLS 终止。作者推荐NGINX Ingress Controller,Kong Ingress Controller,或者Tyk Operator。我在 Traefik Ingress Controller 上取得了巨大的成功。
• 第二个建议是限制访问。入口控制器非常适合在中心点执行身份验证和授权。使用OAuth 2.0或OpenID Connect 等标准协议,入口控制器可以在外围验证令牌并执行粗粒度访问控制。主要是入口控制器可以从 API 后端卸载令牌验证任务。
• 安全常识——不信任任何人。作者描述了 Phantom Token 方法来防止将包含敏感数据的 JWT 暴露在集群之外。通过使用功能齐全的入口控制器,幻影令牌可以通过脚本或插件来实现。
API 的访问控制问题
损坏的访问控制对于 API 来说是一个长期存在的问题。本周InfosecWriteups对这个大家熟悉的话题提供了一些不同的看法。
本文重点介绍了损坏的功能级别和对象级别授权。破坏授权的最有趣(也是经常被忽视)的原因是对客户端参数或值的信任组合。根据定义,必须在客户端维护一些状态历史记录,并且这种状态很容易被攻击者修改。如果服务器端没有通过重新授权(或至少重新验证)来完全验证传入的请求,它可能会盲目信任易于修改的输入。
防止授权被破坏的建议有两个:
• 始终重新验证对记录的访问权限,而不是根据现有的已验证会话假定访问权限。
• 使用单点执行授权。
感谢 APIsecurity.io 提供相关内容
关于星阑
星阑科技基于AI深度感知和强大的自适应机器学习技术,帮助用户迅速发现并解决面临的安全风险和外部威胁,并凭借持续的创新理念和以实战攻防为核心的安全能力,发展成为国内人工智能、信息安全领域的双料科技公司。为解决API安全问题,公司从攻防能力、大数据分析能力及云原生技术体系出发,提供全景化API识别、API高级威胁检测、复杂行为分析等能力,构建API Runtime Protection体系。
星阑科技产品——萤火 (API Intelligence) 拥有不同应用场景的解决方案,适配服务器、容器集群、微服务架构以及云平台等多种架构。通过API资产梳理、漏洞管理、威胁监测、运营与响应能力,解决企业API漏洞入侵、数据泄露两大核心风险。
往期 · 推荐
原文始发于微信公众号(星阑科技):API NEWS | Kubernetes 中 API 安全的最佳实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论