隨著越來越多的企業(yè)通過網(wǎng)站應(yīng)用對外提供服務(wù),除了用戶界面,相關(guān)的API也成為訪問數(shù)據(jù)和服務(wù)的對外入口;近年來,由于API漏洞引發(fā)的安全事件,影響面積大,造成了廣泛的影響;例如:臉書2018年由于API的安全漏洞造成2900萬用戶的個人信息泄露,2019年Instagram因API接口漏洞導(dǎo)致用戶數(shù)據(jù)以及照片被泄露;國內(nèi)2018年發(fā)生華住信息泄露事件導(dǎo)致大量用戶個人信息以及開房信息被泄露,這些事件使API安全相關(guān)的問題得到越來越多的關(guān)注。
企業(yè)API安全的實施策略首先要走在攻擊者和黑客的前面了解和發(fā)現(xiàn)自己的API;上面這些事件中的企業(yè)不知道他們存在這些不安全的API直到發(fā)生問題。企業(yè)可以先從移動端應(yīng)用和網(wǎng)站應(yīng)用開始梳理,這些應(yīng)用通常是基于前后端分離的開發(fā)框架,前端基于Angular或React訪問后端服務(wù)API;另外就是應(yīng)用集成的API,這些API通過ESB或iPaas(集成平臺及服務(wù))提供應(yīng)用和數(shù)據(jù)的訪問;這些API無論是否發(fā)布,還是處于研發(fā)過程中都需要符合安全和管理要求;企業(yè)可以通過構(gòu)建API開發(fā)者門戶管理內(nèi)部和外部的API;對于使用的第三方API,如果出現(xiàn)安全漏洞,同樣會影響到到API使用的客戶端。
企業(yè)需要有API平臺團(tuán)隊通過使用API管理平臺實現(xiàn)企業(yè)API的管理和治理,有些API管理工具可以自動發(fā)現(xiàn)云平臺和容器環(huán)境的API,生成API清單;接下來就是對這些API分類管理;這些分類可以在API管理平臺中進(jìn)行標(biāo)注;用于區(qū)分不同API對應(yīng)的安全管理要求。
發(fā)現(xiàn)并將API分類后,就是識別API的潛在漏洞
參考文檔:
- Gartner報告:API Security: What You Need to Do to Protect Your APIs