开 篇
imperva.com/zh
本周开始我们希望后面每周分享一篇关于API安全应用场景的文章。
为什么会有这个系列?
数字化转型推动API的广泛使用
在我们早期发布的博文中已经分享了IDC的研究报告,也印证了上面描述的趋势
传统应用和API应用的架构区别
● 传统应用更多的后台采用关系型数据库,数据的处理主要发生在应用服务器侧
● 现代应用(API应用)后台更多的采用非关系型数据库,以JSON数据格式传输,数据的处理主要发生在客户端APP侧
架构不同带来了安全防护重点的不同
因为API应用会在客户端App侧针对原始的数据进行处理,这就意味着API安全更需要关注:
● 需要严格管理API的接口,否则很容易带来数据泄露
● API接口背后有大量的原始数据,越权问题是很大的挑战
● 原始数据中的敏感数据的管理需要
因为架构的不同传统的一些高风险攻击优先级会下降:
● 因为后台数据库采用ORM架构,SQLi利用的可能会降低
● 因为认证头取代了传统的Cookie,因此CSRF利用的可能也会降低
安全防护理念的差异:
● 传统的应用通常会有几百甚至上千个业务URL,为了确保应用的可用,通常采用的是黑名单防护机制(针对特定的攻击特征进行阻拦)
● API应用通常都只有几个,最多几十个业务URL,而且功能相对非常明确和单一,因此可以采用白名单机制来实现更加严格的安全策略
正确的理解API安全
imperva.com/zh
API管理更侧重在API生命周期的管理,包含了比较简单的访问控制功能
● 典型解决方案:API GW
● 负责团队:开发和运维团队
API安全保护侧重在API接口的保护,全面的安全防护
● 典型解决方案:API安全解决方案
● 负责团队:安全团队
API管理和API安全防护可以利用API的规范(OAS, Open API Specification)来统一对接标准
可访问网址了解更多:https://swagger.io/specification/
因为API安全的热度上升,市场上涌现了很多的API安全解决方案或者部分功能。按照部署方式和工作原理划分,有以下这些种类:
#基于WAF GW的解决方案
#基于日志收集和分析的解决方案
#基于流量镜像的解决方案
#基于代码功能或者Agent
以上技术方案都有优缺点,在真实的防护场景中可能需要多种部署模式的结合
Imperva API Anywhere方案提供以上所有的部署方案,用户可以根据需要任意的组合。
要做好API安全应该遵从完整有效的实践方法
闭环的API安全防护方案
API安全方案的关键在于能够闭环。
利用OAS标准化Swagger规范文件,Imperva WAF产品能够利用更加严格的白名单机制进行安全防护。
后续我们会针对在API安全的最佳实践方法中的四个阶段,发现、验证、检测、缓解每个阶段里的应用场景进行分别介绍。
●END●
欢迎联系 Imperva 了解更多信息
电话:+86 10 8587 2372
原文始发于微信公众号(IMPERVA):API安全应用场景系列开篇
