隨著傳統(tǒng)網(wǎng)絡邊界的不斷變化,零信任架構(gòu)(Zero TRust architecture, ZTA)已經(jīng)從一個討論話題,轉(zhuǎn)變?yōu)樵S多企業(yè)組織積極推進采用的切實計劃。然而,在許多企業(yè)所制定的ZTA應用計劃中,在設計持續(xù)評估信任的方法時,往往會忽略對API安全性的關(guān)注。
日前,云安全廠商AkamAI的安全專家Abigail Ojeda發(fā)表了一篇博客文章,從實現(xiàn)零信任架構(gòu)的7個基本原則視角,對如何將零信任與API安全性有效融合進行了分析和思考,并就企業(yè)如何開展API安全能力建設提出了具體建議。
API安全性與零信任的交叉點
在美國國家標準與技術(shù)研究院(NIST)發(fā)布的NIST SP 200-807標準中,概述了實現(xiàn)零信任架構(gòu)的七個基本原則。雖然這些原則并不專門針對API安全性所設計,但是同樣可以給企業(yè)的API安全建設提出明確建議和指導。企業(yè)組織應該參考NIST SP 200-807標準所提出的七個基本原則,讓企業(yè)的API安全防護與零信任安全建設保持一致。
原則1、將所有數(shù)據(jù)源和計算服務都作為需要保護的對象。
零信任安全的覆蓋范圍并不僅僅是針對那些可以被看到的應用程序和數(shù)據(jù)。有許多應用程序和數(shù)據(jù)源是無法通過直接的用戶界面來展示的,但它們卻可以通過API被訪問到。因此,在企業(yè)組織的零信任建設規(guī)劃和策略實施模型中,應充分考慮并包含所有的API接口。
原則2、無論是位于企業(yè)網(wǎng)絡的內(nèi)部還是外部,所有的通信連接都必須是安全的。
按照此原則,企業(yè)應該為所有的API應用設計合適的保護措施。即使某些API僅用于私有的數(shù)據(jù)中心環(huán)境,或僅在云環(huán)境內(nèi)部被使用,企業(yè)也應該對其進行數(shù)據(jù)加密、身份授權(quán)和訪問控制,以確保數(shù)據(jù)的機密性和完整性。
原則3、對每個企業(yè)資源都進行基于連接的精細化授權(quán)。
組織應該將所有的API應用都視為獨立的資源,在對其進行訪問權(quán)限之前,都應該基于連接來評估信任。企業(yè)應該以盡可能少地為API應用授予不必要的訪問權(quán)限。同時,還應該使用行為分析來監(jiān)控API使用狀態(tài)并持續(xù)評估它的可信任度。
原則4、動態(tài)決定對資源的訪問權(quán)限,同時包括對其行為屬性進行分析。
在2023年最新發(fā)布的OWASP API安全性TOP 10排行中,已經(jīng)明確將缺乏API管控限制定義為一種對敏感業(yè)務流的無限制訪問漏洞。而NIST也同樣指出,要基于業(yè)務流程的需求和可接受的風險水平來合理設置相應的權(quán)限。因此,企業(yè)應該將本條原則有效應用于API應用,組織必須能夠識別所涉及的業(yè)務實體,結(jié)合業(yè)務流的上下文信息全面判斷,并使用行為分析來監(jiān)測其與正常使用模式之間的偏差。
原則5、企業(yè)應持續(xù)監(jiān)控并評估其所有內(nèi)外部數(shù)字資產(chǎn)的完整性和安全性。
這條原則是基于美國網(wǎng)絡安全和基礎設施安全局(CISA)定義的資產(chǎn)持續(xù)診斷和緩解(CDM)概念所提出。在CDM概念中包括了資產(chǎn)管理、漏洞管理和配置管理等多項應該管理的要素。
就像所有的企業(yè)實物資產(chǎn)一樣,API應用也必須不斷地被發(fā)現(xiàn)、分類和跟蹤。因此,在零信任建設中所包含的脆弱性評估工作,應該超越傳統(tǒng)意義上的安全漏洞,全面覆蓋到基于API在內(nèi)的更多新型安全漏洞。
原則6、所有資源的身份授權(quán)和驗證都是動態(tài)的,并在其進行資源訪問前強制實施
這個原則其實很容易擴展到面向所有的API應用。采用零信任安全架構(gòu)的組織應該對所有的API使用情況進行持續(xù)監(jiān)控,并使用自動化技術(shù)對API流量中檢測到的異常或濫用行為進行響應處置。
原則7、企業(yè)應盡可能收集關(guān)于資產(chǎn)、網(wǎng)絡基礎設施和通信的實時狀態(tài)信息,并將其應用于改善網(wǎng)絡安全。
要讓API安全性真正融入企業(yè)整體的零信任安全體系中,企業(yè)所制定的各項API安全措施就必須能夠長時間獲取數(shù)據(jù),并有足夠的時間來檢測細微的API濫用。這對于執(zhí)行行為分析以實現(xiàn)實時風險評估和零信任策略持續(xù)優(yōu)化是非常必要的。為了實現(xiàn)這個原則,安全分析師需要提供對API和威脅數(shù)據(jù)的按需訪問,以便找出問題并改進。
建立API安全性的7個建議
對于大多數(shù)想要部署應用零信任安全架構(gòu)的組織來說,最大的挑戰(zhàn)是決定從何處入手。就API安全性而言,采取以下建設步驟或?qū)槠淙谌肫髽I(yè)整體的零信任安全計劃打好基礎:
- 實現(xiàn)持續(xù)的API資產(chǎn)發(fā)現(xiàn),并維護一份API應用和可訪問資產(chǎn)的完整清單;
- 當發(fā)現(xiàn)未經(jīng)批準的API時,確保有合適的管控措施,要么將其納入統(tǒng)一管理,要么將其快速消除;
- 無論API應用是公共的還是私有的,都要實現(xiàn)有效的API身份驗證和授權(quán);
- 從OWASP API安全性TOP 10排行榜入手,主動識別API應用中的安全漏洞,將其作為一項持續(xù)的安全工作;
- 開發(fā)或選型能夠分析大型API流量數(shù)據(jù)集的工具,以確定正常API應用行為的安全基線并執(zhí)行異常檢測;
- 向ZTA策略引擎提供威脅和信任見解,因為它們是通過API集成實現(xiàn)的;
- 當出現(xiàn)API漏洞、威脅和濫用時,能夠快速啟動事件響應和處置。
參考鏈接:
https://www.akamai.com/blog/security/api-security-in-a-zero-trust-world
