您当前的位置:首页 > 电脑百科 > 程序开发 > 编程百科

如何在零信任世界中实现API安全性?

时间:2023-11-17 14:33:32  来源:微信公众号  作者:安全牛

随着传统网络边界的不断变化,零信任架构(Zero TRust architecture, ZTA)已经从一个讨论话题,转变为许多企业组织积极推进采用的切实计划。然而,在许多企业所制定的ZTA应用计划中,在设计持续评估信任的方法时,往往会忽略对API安全性的关注。

日前,云安全厂商AkamAI的安全专家Abigail Ojeda发表了一篇博客文章,从实现零信任架构的7个基本原则视角,对如何将零信任与API安全性有效融合进行了分析和思考,并就企业如何开展API安全能力建设提出了具体建议。

API安全性与零信任的交叉点

在美国国家标准与技术研究院(NIST)发布的NIST SP 200-807标准中,概述了实现零信任架构的七个基本原则。虽然这些原则并不专门针对API安全性所设计,但是同样可以给企业的API安全建设提出明确建议和指导。企业组织应该参考NIST SP 200-807标准所提出的七个基本原则,让企业的API安全防护与零信任安全建设保持一致。

原则1、将所有数据源和计算服务都作为需要保护的对象。

零信任安全的覆盖范围并不仅仅是针对那些可以被看到的应用程序和数据。有许多应用程序和数据源是无法通过直接的用户界面来展示的,但它们却可以通过API被访问到。因此,在企业组织的零信任建设规划和策略实施模型中,应充分考虑并包含所有的API接口。

原则2、无论是位于企业网络的内部还是外部,所有的通信连接都必须是安全的。

按照此原则,企业应该为所有的API应用设计合适的保护措施。即使某些API仅用于私有的数据中心环境,或仅在云环境内部被使用,企业也应该对其进行数据加密、身份授权和访问控制,以确保数据的机密性和完整性。

原则3、对每个企业资源都进行基于连接的精细化授权。

组织应该将所有的API应用都视为独立的资源,在对其进行访问权限之前,都应该基于连接来评估信任。企业应该以尽可能少地为API应用授予不必要的访问权限。同时,还应该使用行为分析来监控API使用状态并持续评估它的可信任度。

原则4、动态决定对资源的访问权限,同时包括对其行为属性进行分析。

在2023年最新发布的OWASP API安全性TOP 10排行中,已经明确将缺乏API管控限制定义为一种对敏感业务流的无限制访问漏洞。而NIST也同样指出,要基于业务流程的需求和可接受的风险水平来合理设置相应的权限。因此,企业应该将本条原则有效应用于API应用,组织必须能够识别所涉及的业务实体,结合业务流的上下文信息全面判断,并使用行为分析来监测其与正常使用模式之间的偏差。

原则5、企业应持续监控并评估其所有内外部数字资产的完整性和安全性。

这条原则是基于美国网络安全和基础设施安全局(CISA)定义的资产持续诊断和缓解(CDM)概念所提出。在CDM概念中包括了资产管理、漏洞管理和配置管理等多项应该管理的要素。

就像所有的企业实物资产一样,API应用也必须不断地被发现、分类和跟踪。因此,在零信任建设中所包含的脆弱性评估工作,应该超越传统意义上的安全漏洞,全面覆盖到基于API在内的更多新型安全漏洞。

原则6、所有资源的身份授权和验证都是动态的,并在其进行资源访问前强制实施

这个原则其实很容易扩展到面向所有的API应用。采用零信任安全架构的组织应该对所有的API使用情况进行持续监控,并使用自动化技术对API流量中检测到的异常或滥用行为进行响应处置。

原则7、企业应尽可能收集关于资产、网络基础设施和通信的实时状态信息,并将其应用于改善网络安全。

要让API安全性真正融入企业整体的零信任安全体系中,企业所制定的各项API安全措施就必须能够长时间获取数据,并有足够的时间来检测细微的API滥用。这对于执行行为分析以实现实时风险评估和零信任策略持续优化是非常必要的。为了实现这个原则,安全分析师需要提供对API和威胁数据的按需访问,以便找出问题并改进。

建立API安全性的7个建议

对于大多数想要部署应用零信任安全架构的组织来说,最大的挑战是决定从何处入手。就API安全性而言,采取以下建设步骤或将为其融入企业整体的零信任安全计划打好基础:

  • 实现持续的API资产发现,并维护一份API应用和可访问资产的完整清单;
  • 当发现未经批准的API时,确保有合适的管控措施,要么将其纳入统一管理,要么将其快速消除;
  • 无论API应用是公共的还是私有的,都要实现有效的API身份验证和授权;
  • 从OWASP API安全性TOP 10排行榜入手,主动识别API应用中的安全漏洞,将其作为一项持续的安全工作;
  • 开发或选型能够分析大型API流量数据集的工具,以确定正常API应用行为的安全基线并执行异常检测;
  • 向ZTA策略引擎提供威胁和信任见解,因为它们是通过API集成实现的;
  • 当出现API漏洞、威胁和滥用时,能够快速启动事件响应和处置。

参考链接:

https://www.akamai.com/blog/security/api-security-in-a-zero-trust-world



Tags:API   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
中国三大运营商共同发布通过GSMA Open Gateway认证的一次性密码 API
3月26日,北京:中国三大领先的移动运营商——中国移动、中国电信和中国联通今日发布商用OTP API(一次性密码API)服务,并通过了GSMA Open Gateway认证。此次发布标志着中...【详细内容】
2024-03-26  Search: API  点击:(18)  评论:(0)  加入收藏
如何免费访问和使用Gemini API?
Gemini是谷歌开发的一个新模型。有了Gemini可以为查询提供图像、音频和文本,获得几乎完美的答案。 我们在本教程中将学习Gemini API以及如何在机器上设置它。我们还将探究各...【详细内容】
2024-02-19  Search: API  点击:(59)  评论:(0)  加入收藏
构建 Web API 的两种流行选择:REST vs GraphQL
在 RESTful 和 GraphQL API 之间的选择取决于您的具体用例。RESTful API 适用于需要高可伸缩性的简单应用程序,而 GraphQL 则适用于具有不同数据需求的复杂应用程序。简介RES...【详细内容】
2024-01-09  Search: API  点击:(63)  评论:(0)  加入收藏
FastAPI:高性能Web框架的简介与应用
正文:在当今互联网时代,构建高性能的WebAPI是许多开发人员的关注重点。而FastAPI作为一个现代、快速的Web框架,为基于标准Python类型提示的API构建提供了强大的支持。FastAPI的...【详细内容】
2023-12-27  Search: API  点击:(101)  评论:(0)  加入收藏
理解 Spark 写入 API 的数据处理能力
这张图解释了 Apache Spark DataFrame 写入 API 的流程。它始于对写入数据的 API 调用,支持的格式包括 CSV、JSON 或 Parquet。流程根据选择的保存模式(追加、覆盖、忽略或报...【详细内容】
2023-12-13  Search: API  点击:(149)  评论:(0)  加入收藏
如何在Python中使用ChatGPT API处理实时数据
译者 | 李睿审校 | 重楼OpenAI公司推出的GPT如今已经成为全球最重要的人工智能工具,并精通基于其训练数据处理查询。但是,它不能回答未知话题的问题,例如: 2021年9月之后的近期...【详细内容】
2023-12-13  Search: API  点击:(226)  评论:(0)  加入收藏
伪原创API是什么?六个角度了解伪原创API
伪原创API,听起来可能对许多人来说是一个陌生的术语。然而,在当今数字化时代,尤其是在内容创作和网络营销领域,伪原创API正逐渐崭露头角。在本文中,我将向您深入介绍伪原创API是...【详细内容】
2023-12-11  Search: API  点击:(156)  评论:(0)  加入收藏
使用FastAPI部署YOLO模型的步骤
在计算机视觉领域,You Only Look Once (YOLO) 算法已经崭露头角,成为一种改变游戏规则的算法。它承诺具有卓越准确性的实时目标检测,使其成为从监视和自动驾驶车辆到图像和视频...【详细内容】
2023-12-06  Search: API  点击:(157)  评论:(0)  加入收藏
构建强大REST API的十个最佳实践
在项目开发中,我们经常会使用REST风格进行API的定义,这篇文章为大家提供10条在使用REST API时的最佳实践。希望能够为你带来灵感和帮助。1、使用具体且有意义的资源名称选择能...【详细内容】
2023-12-06  Search: API  点击:(148)  评论:(0)  加入收藏
前端请求到后端API的中间件流程解析
在前端请求到后端API的典型流程中,经过一系列中间件的处理,确保请求的顺利处理和安全性。以下是中间件的详细解析:1. 前端请求用户在前端发起请求,包括请求的URL、参数、以及其...【详细内容】
2023-12-06  Search: API  点击:(122)  评论:(0)  加入收藏
▌简易百科推荐
即将过时的 5 种软件开发技能!
作者 | Eran Yahav编译 | 言征出品 | 51CTO技术栈(微信号:blog51cto) 时至今日,AI编码工具已经进化到足够强大了吗?这未必好回答,但从2023 年 Stack Overflow 上的调查数据来看,44%...【详细内容】
2024-04-03    51CTO  Tags:软件开发   点击:(5)  评论:(0)  加入收藏
跳转链接代码怎么写?
在网页开发中,跳转链接是一项常见的功能。然而,对于非技术人员来说,编写跳转链接代码可能会显得有些困难。不用担心!我们可以借助外链平台来简化操作,即使没有编程经验,也能轻松实...【详细内容】
2024-03-27  蓝色天纪    Tags:跳转链接   点击:(12)  评论:(0)  加入收藏
中台亡了,问题到底出在哪里?
曾几何时,中台一度被当做“变革灵药”,嫁接在“前台作战单元”和“后台资源部门”之间,实现企业各业务线的“打通”和全域业务能力集成,提高开发和服务效率。但在中台如火如荼之...【详细内容】
2024-03-27  dbaplus社群    Tags:中台   点击:(8)  评论:(0)  加入收藏
员工写了个比删库更可怕的Bug!
想必大家都听说过删库跑路吧,我之前一直把它当一个段子来看。可万万没想到,就在昨天,我们公司的某位员工,竟然写了一个比删库更可怕的 Bug!给大家分享一下(不是公开处刑),希望朋友们...【详细内容】
2024-03-26  dbaplus社群    Tags:Bug   点击:(5)  评论:(0)  加入收藏
我们一起聊聊什么是正向代理和反向代理
从字面意思上看,代理就是代替处理的意思,一个对象有能力代替另一个对象处理某一件事。代理,这个词在我们的日常生活中也不陌生,比如在购物、旅游等场景中,我们经常会委托别人代替...【详细内容】
2024-03-26  萤火架构  微信公众号  Tags:正向代理   点击:(10)  评论:(0)  加入收藏
看一遍就理解:IO模型详解
前言大家好,我是程序员田螺。今天我们一起来学习IO模型。在本文开始前呢,先问问大家几个问题哈~什么是IO呢?什么是阻塞非阻塞IO?什么是同步异步IO?什么是IO多路复用?select/epoll...【详细内容】
2024-03-26  捡田螺的小男孩  微信公众号  Tags:IO模型   点击:(8)  评论:(0)  加入收藏
为什么都说 HashMap 是线程不安全的?
做Java开发的人,应该都用过 HashMap 这种集合。今天就和大家来聊聊,为什么 HashMap 是线程不安全的。1.HashMap 数据结构简单来说,HashMap 基于哈希表实现。它使用键的哈希码来...【详细内容】
2024-03-22  Java技术指北  微信公众号  Tags:HashMap   点击:(11)  评论:(0)  加入收藏
如何从头开始编写LoRA代码,这有一份教程
选自 lightning.ai作者:Sebastian Raschka机器之心编译编辑:陈萍作者表示:在各种有效的 LLM 微调方法中,LoRA 仍然是他的首选。LoRA(Low-Rank Adaptation)作为一种用于微调 LLM(大...【详细内容】
2024-03-21  机器之心Pro    Tags:LoRA   点击:(12)  评论:(0)  加入收藏
这样搭建日志中心,传统的ELK就扔了吧!
最近客户有个新需求,就是想查看网站的访问情况。由于网站没有做google的统计和百度的统计,所以访问情况,只能通过日志查看,通过脚本的形式给客户导出也不太实际,给客户写个简单的...【详细内容】
2024-03-20  dbaplus社群    Tags:日志   点击:(4)  评论:(0)  加入收藏
Kubernetes 究竟有没有 LTS?
从一个有趣的问题引出很多人都在关注的 Kubernetes LTS 的问题。有趣的问题2019 年,一个名为 apiserver LoopbackClient Server cert expired after 1 year[1] 的 issue 中提...【详细内容】
2024-03-15  云原生散修  微信公众号  Tags:Kubernetes   点击:(5)  评论:(0)  加入收藏
站内最新
站内热门
站内头条