如何在零信任世界中實現API安全性?
責編:gltian |2023-11-17 14:11:40隨著傳統網絡邊界的不斷變化,零信任架構(Zero Trust architecture, ZTA)已經從一個討論話題,轉變為許多企業組織積極推進采用的切實計劃。然而,在許多企業所制定的ZTA應用計劃中,在設計持續評估信任的方法時,往往會忽略對API安全性的關注。
日前,云安全廠商Akamai的安全專家Abigail Ojeda發表了一篇博客文章,從實現零信任架構的7個基本原則視角,對如何將零信任與API安全性有效融合進行了分析和思考,并就企業如何開展API安全能力建設提出了具體建議。
API安全性與零信任的交叉點
在美國國家標準與技術研究院(NIST)發布的NIST SP 200-807標準中,概述了實現零信任架構的七個基本原則。雖然這些原則并不專門針對API安全性所設計,但是同樣可以給企業的API安全建設提出明確建議和指導。企業組織應該參考NIST SP 200-807標準所提出的七個基本原則,讓企業的API安全防護與零信任安全建設保持一致。
原則1、將所有數據源和計算服務都作為需要保護的對象。
零信任安全的覆蓋范圍并不僅僅是針對那些可以被看到的應用程序和數據。有許多應用程序和數據源是無法通過直接的用戶界面來展示的,但它們卻可以通過API被訪問到。因此,在企業組織的零信任建設規劃和策略實施模型中,應充分考慮并包含所有的API接口。
原則2、無論是位于企業網絡的內部還是外部,所有的通信連接都必須是安全的。
按照此原則,企業應該為所有的API應用設計合適的保護措施。即使某些API僅用于私有的數據中心環境,或僅在云環境內部被使用,企業也應該對其進行數據加密、身份授權和訪問控制,以確保數據的機密性和完整性。
原則3、對每個企業資源都進行基于連接的精細化授權。
組織應該將所有的API應用都視為獨立的資源,在對其進行訪問權限之前,都應該基于連接來評估信任。企業應該以盡可能少地為API應用授予不必要的訪問權限。同時,還應該使用行為分析來監控API使用狀態并持續評估它的可信任度。
原則4、動態決定對資源的訪問權限,同時包括對其行為屬性進行分析。
在2023年最新發布的OWASP API安全性TOP 10排行中,已經明確將缺乏API管控限制定義為一種對敏感業務流的無限制訪問漏洞。而NIST也同樣指出,要基于業務流程的需求和可接受的風險水平來合理設置相應的權限。因此,企業應該將本條原則有效應用于API應用,組織必須能夠識別所涉及的業務實體,結合業務流的上下文信息全面判斷,并使用行為分析來監測其與正常使用模式之間的偏差。
原則5、企業應持續監控并評估其所有內外部數字資產的完整性和安全性。
這條原則是基于美國網絡安全和基礎設施安全局(CISA)定義的資產持續診斷和緩解(CDM)概念所提出。在CDM概念中包括了資產管理、漏洞管理和配置管理等多項應該管理的要素。
就像所有的企業實物資產一樣,API應用也必須不斷地被發現、分類和跟蹤。因此,在零信任建設中所包含的脆弱性評估工作,應該超越傳統意義上的安全漏洞,全面覆蓋到基于API在內的更多新型安全漏洞。
原則6、所有資源的身份授權和驗證都是動態的,并在其進行資源訪問前強制實施。
這個原則其實很容易擴展到面向所有的API應用。采用零信任安全架構的組織應該對所有的API使用情況進行持續監控,并使用自動化技術對API流量中檢測到的異常或濫用行為進行響應處置。
原則7、企業應盡可能收集關于資產、網絡基礎設施和通信的實時狀態信息,并將其應用于改善網絡安全。
要讓API安全性真正融入企業整體的零信任安全體系中,企業所制定的各項API安全措施就必須能夠長時間獲取數據,并有足夠的時間來檢測細微的API濫用。這對于執行行為分析以實現實時風險評估和零信任策略持續優化是非常必要的。為了實現這個原則,安全分析師需要提供對API和威脅數據的按需訪問,以便找出問題并改進。
建立API安全性的7個建議
對于大多數想要部署應用零信任安全架構的組織來說,最大的挑戰是決定從何處入手。就API安全性而言,采取以下建設步驟或將為其融入企業整體的零信任安全計劃打好基礎:
- 實現持續的API資產發現,并維護一份API應用和可訪問資產的完整清單;
- 當發現未經批準的API時,確保有合適的管控措施,要么將其納入統一管理,要么將其快速消除;
- 無論API應用是公共的還是私有的,都要實現有效的API身份驗證和授權;
- 從OWASP API安全性TOP 10排行榜入手,主動識別API應用中的安全漏洞,將其作為一項持續的安全工作;
- 開發或選型能夠分析大型API流量數據集的工具,以確定正常API應用行為的安全基線并執行異常檢測;
- 向ZTA策略引擎提供威脅和信任見解,因為它們是通過API集成實現的;
- 當出現API漏洞、威脅和濫用時,能夠快速啟動事件響應和處置。
參考鏈接:
https://www.akamai.com/blog/security/api-security-in-a-zero-trust-world