API安全能力建设桔皮书

API安全能力建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561 第 2 页，共 35 页 API安全能力建设 桔皮书 奇安信科技集团股份有限公司 2022年1月 版权声明 本文中出现的任何文字叙述、文档格式、插图、图片、方法、过程等内容，除另有特别注明，版权均为奇安信集团（指包括但不限于奇安信科技集团股份有限公司、网神信息技术（北京）股份有限公司、北京网康科技有限公司）所有，受到有关产权及版权法保护。任何个人、机构未经奇安信集团的书面授权许可，不得以任何方式复制或引用本文的任何片段。 前 言 对数据要素掌控和利用能力，已成为经济增长的核心驱动力。在数字化时代，数据是重要资产，数据的安全是网络安全乃至国家安全和社会安定不可或缺的重要要素。在云计算、大数据、人工智能等新兴技术的推动下，众多行业都在经历一场轰轰烈烈的数字化转型大潮。伴随着数字化进程的发展，API作为连接数据和应用的重要通道，在物联网、微服务、云原生等场景都得到了非常广阔的应用，通过API的能力将企业的数据资源整合，即将其服务、能力和资产打包到可重复利用的模块化软件中，让数据在不同环境中使用，包括将其与合作伙伴及其他第三方有价值的资产结合起来。API在数字化转型中的扮演的角色将愈发重要，通过API进行数据交换成为最重要的传输方式之一，也因此成为攻击者窃取数据的重点攻击对象。 近两年来因API安全问题导致的数据泄漏事件频频发生， 可以看到API安全是一个常见但似乎又不为人熟知的挑战。行业对API安全的认识仍处于早期，OWASP API Security Top 10（失效的对象级授权、失效的用户认证、过度的数据暴露、资源缺失&速率限制、功能级别授权已损坏等）指出了API最常见的安全风险。 本报告结合面向实战化的安全实践，通过将API的安全能力和组件，嵌入到业务体系，构建自适应的内生安全机制。按照“发现”、“检测”、“防护”、“响应”的安全模型进行API安全体系建设，并不断地创新与迭代，提供万物互联时代的数据交换、大规模分布式架构、云计算、数字化改造等场景的数据安全保障 目 录 一、 数字化转型浪潮催生API高速发展 ...................... 1 (一) API发展历程 ....................................... 1 1. 单体架构 ........................................... 2 2. 分布式架构 ......................................... 3 3. SOA架构 ........................................... 4 4. 微服务架构 ......................................... 4 5. Serverless架构 ..................................... 5 6. Cloud Native云原生架构 ............................. 6 (二) 数字化转型带来云原生的发展 ......................... 6 1. 云原生赋能政企数字化转型 ........................... 7 2. 云原生成为驱动业务增长的重要引擎 ................... 7 3. 云原生是下一代云计算的技术核心 ..................... 7 (三) API成为资源连接利器 ............................... 8 1. API是云原生架构的技术核心之一 ...................... 8 2. 数字化转型依赖API整合能力 ......................... 8 3. API成为企业发展的战略需求 .......................... 9 (四) API成为政企数字化转型的核心能力 ................... 9 1. API是一种核心能力 .................................. 9 2. API化是一种必然的趋势 ............................. 10 3. API是企业的核心数字资产 ........................... 10 二、 API爆发式增长催生新的安全挑战 ..................... 10 (一) API防护缺失已成数据安全最大风险敞口 .............. 10 (二) API安全面临的主要安全问题 ........................ 12 1. 缺乏可见性 ........................................ 12 2. 攻击面增加 ........................................ 13 3. 多种攻击隐患 ...................................... 15 4. 敏感数据泄漏 ...................................... 17 三、 围绕API安全构建全新数据安全体系 ................... 18 (一) 场景变化带来的防护难点 ............................ 18 (二) 新技术、新业务带来的防护难点 ...................... 18 (三) API格式的多样性、复杂性面临的防护难点............. 19 (四) 传统防护手段无法应对API安全风险 .................. 19 四、 API安全防护要求与建议 ............................. 22 (一) 持续构建发现能力 .................................. 23 1. API资产发现与管理 ................................. 23 2. API漏洞发现 ...................................... 24 3. API滥用发现 ...................................... 24 (二) 持续构建检测能力 .................................. 24 1. 针对API漏洞攻击检测 .............................. 24 2. 逻辑异常攻击检测 .................................. 24 3. 异常行为检测 ...................................... 24 4. 数据异常流转及泄漏检测 ............................ 25 5. 失陷主机检测 ...................................... 25 (三) 持续构建防护能力 .................................. 25 1. 认证授权体系 ...................................... 25 2. 访问控制 .......................................... 26 3. 加解密能力 ........................................ 26 4. API限流限速 ...................................... 26 (四) 持续构建响应能力 .................................. 26 1. 漏洞管理与响应 .................................... 26 2. 威胁分析与处置 .................................... 26 3. 威胁预警能力 ...................................... 27 五、 结束语 ............................................ 27 API安全能力建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561 第 1 页，共 27 页 一、 数字化转型浪潮催生API高速发展 API（Application Programming Interface，应用程序接口）是一种计算接口，定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展，API从早期的软件内部调用的接口，扩展到互联网上对外提供服务的接口。调用者通过调用API，可以获取接口提供的各项服务，而无须访问源码，也无须理解内部工作机制的细节。 (一) API发展历程 API服务的发展历程可以看作企业数字化过程中系统集成需求不断变化的过程。 21世纪初期，随着ERP、CRM等企业内部管理系统的普及，各类系统沉淀了海量的关联数据，基于早期的数据库和HTTP1.0通信协议，API在企业内部数据打通后开始崭露头角，系统集成进入API1.0时代。 2007年前后，随Web2.0时代到来，企业信息和资源跨出企业内 API安全能力建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561 第 2 页，共 27 页 部，各企业系统不再是孤立状态，系统资源和数据的整合需求也扩散至外部，进而出现了UDDI技术规范和基于SOAP协议的API接口，系统集成步入API2.0时代。 2015年后，云服务主导了企业服务市场，大型企业在内部系统集成理顺的基础上，将企业核心资源以带有适当安全和监管措施的“API+云服务”形式向合作伙伴、客户、乃至普通大众输出。基于此，RESTful API开始被大量应用，API服务正式步入3.0时代。在API3.0时代，客户和普通大众可以利用企业通过API输出的资源来完成各自的产品和服务的开发，最终延伸出庞大的价值链。 在云技术与容器技术兴起之前，单体架构一直是构建应用程序的主流架构，然而这两种技术的兴起，为企业快速部署项目以及持续集成带来了很大便利。伴随着容器技术与云技术的发展，微服务已成为高速增长公司中构建应用程序的首选。 1. 单体架构 在应用程序发展的早期，大部分软件项目是将所有的服务端功能模块打包到单个巨石型（Monolith）应用（典型的三级架构，前端(Web/Wap/APP)+中间业务逻辑层+数据库层。这是一种典型的Java Spring mvc或者Python Django框架的应用）中，如很多企业的 Java 应用程序打包为war包然后发布到Tomcat中，其架构图如下所示： API安全能力建设桔皮书 © 奇安信集团 股票简称：奇安信 股票代码：688561 第 3 页，共 27 页 2. 分布式架构 分布式架构是单体架构的并发扩展，将一个大的系统划分为多个业务模块，业务模块分别部署在不同的服务器上，各个业务模块之间通过接口进行数据交互。数据库也大量采用分布式数据库，如：Redis、ES、solor等。通过DNS&LVS/Nginx/F5负载均衡处理器（DNS是用于实现地理级别的负载均衡，而Nginx&LVS&F5用于同一地点内机器级别的负载均衡。其中Nginx是软件的7层负载均衡，LVS是内核的4层负载均衡，F5是硬件做4层负载均衡），将用户请求均衡地负载到不同的服务器上。相对于单体架构来说，分布式架构提供了负载均衡的能力，大大提高了系统负载能力，解决了网站高并发的需求。其架构图如下所示