信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

隨著傳統(tǒng)網(wǎng)絡(luò)邊界的不斷變化，零信任架構(gòu)（Zero Trust architecture,ZTA）已經(jīng)從一個討論話題，轉(zhuǎn)變?yōu)樵S多企業(yè)組織積極推進采用的切實計劃。然而，在許多企業(yè)所制定的ZTA應(yīng)用計劃中，在設(shè)計持續(xù)評估信任的方法時，往往會忽略對API安全性的關(guān)注。

日前，云安全廠商Akamai的安全專家Abigail Ojeda發(fā)表了一篇博客文章，從實現(xiàn)零信任架構(gòu)的7個基本原則視角，對如何將零信任與API安全性有效融合進行了分析和思考，并就企業(yè)如何開展API安全能力建設(shè)提出了具體建議。

API安全性與零信任的交叉點

在美國國家標準與技術(shù)研究院（NIST）發(fā)布的NIST SP 200-807標準中，概述了實現(xiàn)零信任架構(gòu)的七個基本原則。雖然這些原則并不專門針對API安全性所設(shè)計，但是同樣可以給企業(yè)的API安全建設(shè)提出明確建議和指導(dǎo)。企業(yè)組織應(yīng)該參考NIST SP 200-807標準所提出的七個基本原則，讓企業(yè)的API安全防護與零信任安全建設(shè)保持一致。

原則1、將所有數(shù)據(jù)源和計算服務(wù)都作為需要保護的對象。

零信任安全的覆蓋范圍并不僅僅是針對那些可以被看到的應(yīng)用程序和數(shù)據(jù)。有許多應(yīng)用程序和數(shù)據(jù)源是無法通過直接的用戶界面來展示的，但它們卻可以通過API被訪問到。因此，在企業(yè)組織的零信任建設(shè)規(guī)劃和策略實施模型中，應(yīng)充分考慮并包含所有的API接口。

原則2、無論是位于企業(yè)網(wǎng)絡(luò)的內(nèi)部還是外部，所有的通信連接都必須是安全的。

按照此原則，企業(yè)應(yīng)該為所有的API應(yīng)用設(shè)計合適的保護措施。即使某些API僅用于私有的數(shù)據(jù)中心環(huán)境，或僅在云環(huán)境內(nèi)部被使用，企業(yè)也應(yīng)該對其進行數(shù)據(jù)加密、身份授權(quán)和訪問控制，以確保數(shù)據(jù)的機密性和完整性。

原則3、對每個企業(yè)資源都進行基于連接的精細化授權(quán)。

組織應(yīng)該將所有的API應(yīng)用都視為獨立的資源，在對其進行訪問權(quán)限之前，都應(yīng)該基于連接來評估信任。企業(yè)應(yīng)該以盡可能少地為API應(yīng)用授予不必要的訪問權(quán)限。同時，還應(yīng)該使用行為分析來監(jiān)控API使用狀態(tài)并持續(xù)評估它的可信任度。

原則4、動態(tài)決定對資源的訪問權(quán)限，同時包括對其行為屬性進行分析。

在2023年最新發(fā)布的OWASP API安全性TOP 10排行中，已經(jīng)明確將缺乏API管控限制定義為一種對敏感業(yè)務(wù)流的無限制訪問漏洞。而NIST也同樣指出，要基于業(yè)務(wù)流程的需求和可接受的風險水平來合理設(shè)置相應(yīng)的權(quán)限。因此，企業(yè)應(yīng)該將本條原則有效應(yīng)用于API應(yīng)用，組織必須能夠識別所涉及的業(yè)務(wù)實體，結(jié)合業(yè)務(wù)流的上下文信息全面判斷，并使用行為分析來監(jiān)測其與正常使用模式之間的偏差。

原則5、企業(yè)應(yīng)持續(xù)監(jiān)控并評估其所有內(nèi)外部數(shù)字資產(chǎn)的完整性和安全性。

這條原則是基于美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）定義的資產(chǎn)持續(xù)診斷和緩解（CDM）概念所提出。在CDM概念中包括了資產(chǎn)管理、漏洞管理和配置管理等多項應(yīng)該管理的要素。

就像所有的企業(yè)實物資產(chǎn)一樣，API應(yīng)用也必須不斷地被發(fā)現(xiàn)、分類和跟蹤。因此，在零信任建設(shè)中所包含的脆弱性評估工作，應(yīng)該超越傳統(tǒng)意義上的安全漏洞，全面覆蓋到基于API在內(nèi)的更多新型安全漏洞。

原則6、所有資源的身份授權(quán)和驗證都是動態(tài)的，并在其進行資源訪問前強制實施。

這個原則其實很容易擴展到面向所有的API應(yīng)用。采用零信任安全架構(gòu)的組織應(yīng)該對所有的API使用情況進行持續(xù)監(jiān)控，并使用自動化技術(shù)對API流量中檢測到的異?；驗E用行為進行響應(yīng)處置。

原則7、企業(yè)應(yīng)盡可能收集關(guān)于資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施和通信的實時狀態(tài)信息，并將其應(yīng)用于改善網(wǎng)絡(luò)安全。

要讓API安全性真正融入企業(yè)整體的零信任安全體系中，企業(yè)所制定的各項API安全措施就必須能夠長時間獲取數(shù)據(jù)，并有足夠的時間來檢測細微的API濫用。這對于執(zhí)行行為分析以實現(xiàn)實時風險評估和零信任策略持續(xù)優(yōu)化是非常必要的。為了實現(xiàn)這個原則，安全分析師需要提供對API和威脅數(shù)據(jù)的按需訪問，以便找出問題并改進。

建立API安全性的7個建議

對于大多數(shù)想要部署應(yīng)用零信任安全架構(gòu)的組織來說，最大的挑戰(zhàn)是決定從何處入手。就API安全性而言，采取以下建設(shè)步驟或?qū)槠淙谌肫髽I(yè)整體的零信任安全計劃打好基礎(chǔ)：

●實現(xiàn)持續(xù)的API資產(chǎn)發(fā)現(xiàn)，并維護一份API應(yīng)用和可訪問資產(chǎn)的完整清單；

●當發(fā)現(xiàn)未經(jīng)批準的API時，確保有合適的管控措施，要么將其納入統(tǒng)一管理，要么將其快速消除；

●無論API應(yīng)用是公共的還是私有的，都要實現(xiàn)有效的API身份驗證和授權(quán)；

●從OWASP API安全性TOP 10排行榜入手，主動識別API應(yīng)用中的安全漏洞，將其作為一項持續(xù)的安全工作；

●開發(fā)或選型能夠分析大型API流量數(shù)據(jù)集的工具，以確定正常API應(yīng)用行為的安全基線并執(zhí)行異常檢測；

●向ZTA策略引擎提供威脅和信任見解，因為它們是通過API集成實現(xiàn)的；

●當出現(xiàn)API漏洞、威脅和濫用時，能夠快速啟動事件響應(yīng)和處置。