沒有零信任，就沒有真正的API安全

發佈時間：2022-09-14 來源：网联科技浏览数： 209

API安全是當下企業面臨的最嚴峻的網路安全挑戰之一。在過去的12個月中，API攻擊新增了681%，而整體API流量也新增了321%。根據Salt的2022年第一季度API安全狀況報告，惡意API調用從2020年12月的每個客戶月均273萬次飆升到2021年12月的2132萬次。 Salt的客戶擁有Web應用程序防火牆，並且幾乎所有客戶都擁有API閘道，但API攻擊正在繞過這些安全控制。

API安全失控

API攻擊的爆發式增長也扼殺了業務創新。例如，62%的企業承認由於API安全問題延后了新產品的推出和應用程序的推出。此外，95%的DevOps領導者和團隊表示他們在過去12個月中遭遇過API安全事件。三分之一的DevOps組織表示，儘管在生產環境中運行API，但他們的公司缺乏任何API安全性原則。

根據Gartner的數據，到2024年API攻擊將加速並翻一番。與此同時，API承載的業務量也在高速增長，從2019年到2021年，與API相關的査詢量穩步增長，平均同比增長33%。

DevOps領導者面臨著在預算內按時交付數位化轉型項目的壓力，同時還需要開發和微調API。不幸的是，當DevOps團隊急於在截止日期前完成項目時，API安全管理往往成了馬後炮。當企業中的所有DevOps團隊都沒有他們需要的API管理工具和安全防護時，API安全問題很快就會失控。

更多的DevOps團隊需要一種可靠、可擴展的方法來防止API安全失控。此外，DevOps團隊還需要將API管理轉移到零信任框架，以降低數據洩露的風險。

API防護的六個階段

Cequence Security和Forrester在DevOps和API安全網絡研討會提出了API保護的六個階段。

“那些最大型的組織日常會處理數百個使用擴展API的應用程序，隨著數位化的不斷深入，未來他們將面對數萬或數十萬個API。囙此，對API的管理和跟踪將變得更加困難。” Forrester首席分析師Sandy Carielli在網絡研討會上說。

Cequence Security則將API防護劃分為六個階段，第一階段從發現和識別所有面向公眾的API開始，然後進階到庫存、合規性、檢測、預防和檢測

Cequence Security認為，在整個API安全生命週期採用集成的，基於生命週期的反覆運算方法有助於識別和管理API，同時能有效檢測和防止API攻擊。

Forrester的首席分析師Sandy Carielli指出：API需要作為易受攻擊的、未受保護的開放攻擊面進行管理。網絡犯罪分子知道API疏於防護，API攻擊近年來保持著三位數的高增長率，企業迫切需要使用零信任框架進行API安全管理。

API攻擊面管理離不開零信任

Capital One、JustDial、Venmo、Panera Bread、T-Mobile、美國郵政服務等公司的API漏洞表明，數以千計的API沒有受到保護，是網絡犯罪分子最喜歡的攻擊面之一。 API需要最少的特權訪問，並使用更基於微分段的方法進行管理。零信任的這兩個要素結合身份和訪問管理（IAM）框架來管理API，將减少企業現時難以追跡的“流氓API”和“失踪API”的數量。此外，應用最小許可權、微分段和IAM將减少用於內部測試的端點數量（這些端點保持打開狀態，可以訪問API）。

API生命週期需要建立在零信任之上

安全控制不應當成為DevOps的絆腳石。將零信任嵌入API生命週期首先是不信任用戶端提供的數據，並使用默認拒絕流程來删除所有隱式信任。 DevOps領導者需要將身份驗證構建到API生命週期的每個階段。目標需要是為每個API開發和部署項目設計明確的信任規則。

基於零信任的有效API治理

DevOps領導者及其團隊需要幫助平衡其業務對API不斷增長的需求與保持合規性的需求，以支持新的數位化轉型項目。面對快速地創建API的壓力，DevOps團隊首先加速業務收益，並嘗試在開發時間表允許的情况下趕上合規性、安全性和隱私性。安全控制必須轉向API級別的信任，為生成的每種類型的API定義安全上下文。

以零信任加强CI/CD和SDLC

對原始程式碼供應鏈的攻擊表明，零信任必須成為持續集成/持續交付（CI/CD）和SDLC等DevOps框架和流程的覈心。類似SolarWinds這樣的軟件供應鏈攻擊成功地更改了應用程序的覈心可執行文件，然後感染了整個供應鏈，這使得零信任成為當今DevOps團隊需要處理的緊迫問題，只有在SDLC設計階段融合安全，才能讓安全不再成為程式碼生產的阻力。 SDLC週期也將運行得更快，因為安全將不再是項目結束後的附加流程，這將大大改善了程式碼安全治理。

API安全不能是馬後炮

為了按時完成大型數位化轉型項目，很多DevOps團隊負責人急於完成API發佈週期，同時將安全性視為完成工作的障礙。這導致API的安全檢查和審計工作非常草率甚至缺失。 DevOps團隊中的每個人都被迫滿足或超過程式碼發佈日期。 API安全成為沒有人有時間處理的附加流程，導致API安全問題蔓延。

當零信任成為API和DevOps流程的設計目標時，安全性才能在整個SDLC中得到加强。此外，IAM和微分段將極大地提高庫存準確性，减少流氓或被遺忘的API的威脅，避免整個平臺或公司因網絡攻擊而癱瘓。