加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
  • 推荐器件
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

API治理实践

2023/12/29
2992
阅读需 10 分钟
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

作者:高尉峰,单位:中移集成智慧城市平台部信息安全团队

随着企业日益依赖API来提供对服务和数据的访问,他们对API安全保护的重视程度也与日俱增。

API很容易受到各种安全风险的影响,从而导致数据泄露、未经授权的访问和其他形式的滥用。具体风险如下:

运营中断:不安全的API是网络攻击的入口。攻击者可以针对API发起多种类型的API攻击(包括拒绝服务(DoS)攻击),以消耗系统资源。这些行为会导致系统运行缓慢或中断,对用户体验造成负面影响,并造成严重安全事故。

财务风险:应对API安全漏洞可能造成高昂的代价,包括纠正安全漏洞、管理公共关系以及数据泄露后的潜在法律成本。

数据泄露风险:API安全风险会威胁到企业的数据完整性、运营连续性和财务稳定性。实施API安全保护策略(包括严格的身份验证和速率限制)对于保护企业资产至关重要。

中移系统集成有限公司智慧城市平台部基于近年来对API治理的系统研究、创新的实战化思想和实践发现,智慧城市平台部构建了云原生API全生命周期管理,将API治理能力融入DevSecOps流程当中。以下将从API设计,API管理,API测试,API监控,API防护的维度介绍云原生API全生命周期管理。

1、API简介

API代表应用程序编程接口,应用程序指的是任何具有独特功能的软件,接口可以看作是两个应用程序之间的服务合约。该合约定义了两者如何使用请求和响应相互通信。下图对API从不同的维度进行了分类。

中移集成智慧城市平台部在大量的实践经验基础上,构建了自己的安全威胁库和漏洞防御库,实现了轻量级威胁建模过程,通过安全评估调查问卷,从系统结构和使用场景去识别将要构建的应用类型,然后匹配对应的威胁库和漏洞防御库,确定安全需求基线,最终得出安全设计方案。

2、API管理

1、Swagger是一款开源的API设计工具,主要用于构建、设计、编写和使用RESTful Web服务。可以帮助开发人员设计和编写API,以及创建出色的API文档。Swagger是一个强大的开源框架,支持API开发全生命周期,包括设计、构建、文档和使用。

2、通过Proxy代理,对流量进行分析也是获取API信息的一种手段。Mitmproxy可以像正常的代理一样转发请求,保障服务端与客户端的通信,也可以通过Mitmproxy查看,篡改数据包。mitmproxy有两个关联组件,一个是mitmdump,它是mitmproxy的命令行接口,利用它我们可以对接Python脚本,用 Python实现监听后的处理逻辑。另一个是mitmweb,它是一个Web程序,通过它我们可以查看或者篡改mitmproxy捕获的请求。

3、使用API网关发布和管理API接口也逐渐成为一种主流趋势。随着微服务概念的兴起,越来越多的企业选择使用微服务的架构方式部署自己的系统。由于微服务使用的增加,原本一个庞大的单体应用,被拆分为多个微服务系统进行独立维护和部署,也就造成微服务系统中存在一定规模的需要被纳管的API接口。这些API接口数量庞大,对接不同的微服务系统,拥有不同的业务需求,造成API管理的难度日益增加,API网关主要实现以下功能:

1)统一管理

API网关可提供全生命周期的API管理,涵盖设计、开发、测试、发布、运维、上架、下架等,实现完整的API解决方案。可轻松管理和部署任意规模的API。

2)轻松控流

API网关提供流量控制功能,可通过多种算法,实现精细化的流控。同时可通过提供灵活自定义的流量控制策略,来保障API服务的稳定和连续。

3)可视化监控

通过API网关可监控API调用性能指标、数据延迟以及错误等信息,识别可能影响业务的潜在风险。

4)多层安全防护

API网关可实现严格的访问控制、IP黑白名单控制、认证鉴权、防重放、防攻击、多种审计等安全措施,全方位保护API安全调用,且能实施灵活而精细的配额管理及流控管理以保护后端服务。

5)灵活路由

API支持配置不同的后端,流量可以基于多种策略匹配转发,轻松解决企业应用的灰度发布,环境管理等难题。

3、API测试

目前安全业界常用的测试方法包括:DAST(渗透测试),SAST(静态代码扫描),IAST(交互式应用程序安全测试),SCA(软件成分分析)。以上四种测试方法已经在中移集成智慧城市平台部落地,通过对接CI/CD实现了安全自动化测试,具体的实践方案如下:

DAST:安全测试人员通过burp suit,appscan,nmap等黑盒扫描工具对系统的接口进行安全测试。

SAST:通过扫描源码中的高中危漏洞,然后在流水线设置质量门禁,保证提交代码的安全性。

IAST:通过引入洞态iast系统,从流量层面和源码层面实现漏洞检测,具有低误报,确认安全问题更方便,自动化程度高的优点,成功弥补了DAST和SAST的缺点。

4、API监控

网络流量数据通过全天候全方位实时地识别,并与威胁情报、行为模型匹配,发现未知威胁、木马通讯、隐蔽信道等异常行为。利用流量可视化能力,看见资产、看清安全洼地、看透安全隐患,为用户构建灵敏的网络威胁感知能力,展示全方位的网络安全态势。

Kubeshark可以实现捕获和监控容器、pod、命名空间、节点和集群的所有 API 流量。支持 REST、GraphQL、gRPC、Redis、Kafka、RabbitMQ (AMQP)、DNS、Websockets、TLS 和 mTLS 。

5、API防护

1)DDOS防护

nginx作为一款高性能的Web代理和负载均衡服务器,我们就可以在Nginx上进行设置,对访问的IP地址和并发数进行相应的限制。

Nginx限制IP的连接和并发分别有两个模块:

limit_req_zone 用来限制单位时间内的请求数,即速率限制。

limit_req_conn 用来限制同一时间连接数,即并发限制。

2)RASP防护

在Java技术栈下,onestone 引擎以 javaagent 的形式实现,并运行在 JVM 之上。在应用服务器启动的时候,onestone 引擎借助 JVM 自身提供的instrumentation 技术,通过替换字节码的方式实现hook关键类的关键方法。

在这些关键函数执行之前添加安全检查,根据上下文和关键函数的参数等信息判断请求是否为恶意请求,并终止或继续执行流。该方法能够准确定位攻击,显示攻击载荷的执行路径。

中移集成智慧城市平台部采用onestone系统实现入侵防御。主要解决以下痛点:

漏洞爆发后的修复时间少则两周,多则数月,存在攻击空窗期,无法实时拦截攻击。

开发人员打安全补丁时无法准确定位问题,导致安全问题未完全修复。

现有waf系统存在误报率高,无法拦截未知威胁,无法感知攻击,无法精准溯源的风险。

6、API治理价值

1、清查服务体量持续加速增长的API

2、形成完整的 API 定义或文档

3、实时更新生产环境 API 服务的变更

4、解决影子API及接口滥用问题

5、检测API存在的未授权访问、敏感数据暴露等各类安全风险,并提供详细的风险分析及安全处置建议。

推荐器件

更多器件
器件型号 数量 器件厂商 器件描述 数据手册 ECAD模型 风险等级 参考价格 更多信息
KSZ8081RNACA 1 Microchip Technology Inc DATACOM, ETHERNET TRANSCEIVER, QCC24

ECAD模型

下载ECAD模型
$0.77 查看
KSZ9567RTXI-TR 1 Microchip Technology Inc IC ETHERNET SWITCH 7PORT 128TQFP

ECAD模型

下载ECAD模型
$13.11 查看
KSZ8895MLXI 1 Microchip Technology Inc DATACOM, ETHERNET TRANSCEIVER
暂无数据 查看

相关推荐

电子产业图谱

移动Labs是中国移动的社交化新媒体平台,是面向外部行业及产业链合作伙伴的信息发布、业务发展和产业推进门户。