API使应用程序的特性更加丰富和动态,但它们也增加了攻击面。

API或应用程序编程接口是多个计算机程序相互通信的一种方式。例如,网站可以使用API从数据库请求信息或将信息传递给第三方服务。移动应用程序经常使用API将数据来回发送到中央服务器。传统的网站正迅速被高度交互的基于API的网站所取代。API也是企业应用程序的关键,它取代了原有的信息交换机制。  

根据Akamai公司今年早些时候发布的一份报告,API调用现在占所有Web流量的83%。这意味着提供了功能更强大、功能更丰富的应用程序,但同时也意味着更大的安全风险。根据调研机构Gartner公司的调查,到2021年,将有90%的启用Web的应用程序以暴露的API而非用户界面的形式具有更大的攻击面,而2019年为40%。到2022年,API滥用将成为最常见的攻击。  

例如,麦当劳公司的API公开了其移动交付应用程序用户的个人数据。由于API导致数据泄露的其他公司包括Facebook、Twitter、Panera Bread、T-Mobile、Instagram、Salesforce和Snapchat。甚至美国国税局也遭遇了API数据泄漏的事件。  

总部位于波士顿的安全机构Cybereason公司的首席信息安全官Israel Barak表示,“在过去的五六年中,API成为越来越大的问题。业务、系统和应用程序之间的互连性的增加加速了面向公众的API的采用。然后便是微服务和容器等服务的使用。”   以一个用于预订航班的网络应用为例。如果它是传统的整体应用程序,则用户将选择一个航班,获取报价,付款并预定。他们将按顺序完成所有这些步骤。Barak说,“交易过程确保第一步发生在第二步之前。”  

现在,网络上的同一应用程序可能是一组独立功能,每个功能都调用一个单独的API。一个乘客可能会向支付系统发送请求。另一个乘客可能会向航空公司发送预订航班的请求。利用公开的API,黑客可以跳过付款步骤而直接进入预订步骤。此外,攻击者也可能劫持确认所有用户信息,并获取其他客户的姓名、地址和付款明细的API。  

有时,即使是完全无害的API也会造成损害,Barak说。例如,在用户选择城市所在的国家/地区后,网络表单通常会提供城市列表。如果城市列表是通过API提供的,则攻击者可以发送大量假请求,足以关闭该特定服务-并使整个Web表单停止运行。Barak说,“而且不能使用验证码,因为另一边没有人。”  

总部位于圣马特奥的网络安全机构PerimeterX公司联合创始人兼首席技术官Ido Safruti表示,当人们使用API来验证信用卡且访问权限未得到适当锁定时,还会发生另一种常见的API滥用。他说:“我可以直接采用API并尝试验证被盗的信用卡或者礼品卡,这更容易,因为不需要用户的姓名或邮政编码。”   他补充说,“这种第三方API的使用非常难以锁定。作为数据中心运营商,如果其应用程序在数据中心之外调用API,那么可能对此完全一无所知。”  

从后台到前台   在以往,企业的应用程序在内部网络内相互通信,可以安全地隐藏在防火墙后面。应该说,这意味着访问和身份验证问题对开发人员的压力并不大。实施大量安全检查会很麻烦,会减慢开发速度并干扰功能。如今,在混合数据中心和万物实现云化的情况下,但API并没有企业的防火墙防护,但是开发人员经常忘记这一事实,并意外地将其公开。  

BTB Security公司顾问Humberto Gauna说,“保护API并不难。但这需要一定的资源,将会增加公司的成本。”他建议,在构建新的API时,企业应让安全专业人员参与早期阶段。  

通常情况下,数据中心安全管理人员对开发人员如何编写其API并没有什么要求。但它们可以确保内部数据库和服务器得到适当的保护,并确保基于云计算的服务得到适当的配置。他们还可以为内部部署环境和云计算部署设置API网关。  

API网关的优缺点   并非所有专家都认为API网关是一个好主意。  

当企业通过一个或多个API网关汇集所有API流量时,它们可以确保基本的安全策略(如加密、身份验证和访问控制)得到充分实施。网关还可以执行其他操作,如负载均衡和DDoS保护。  

可以为内部部署数据中心设置API网关,大多数主要的云计算提供商都将它们作为基础设施上托管的系统的服务来提供。Cybereason公司的Barak说,该过程从创建数据中心公开的所有API的目录开始。他说,“这是一个良好的安全平台的核心组成部分,但很多人没有采用它。使目录保持最新是很困难的,特别是当开发新的微服务并在几天甚至几小时内推出时。”   接下来,企业必须使用自己的令牌(例如API密钥或OpenID标识符)来标识每个API,并根据这些令牌控制对数据和服务的访问。Barak说,“没有授权令牌,企业的开发人员不能公开新的API,而是必须注册该API。”  

最后,数据中心可以为API流量设置网关。他说,通过实施包括加密和签名的安全通道,数据中心可以对API安全性产生巨大影响。   但是一些专家说,要让企业的所有开发人员都参与进来可能很困难。  

总部位于圣何塞的安全厂商Malwarebytes Labs的主管Adam Kujawa说,“这将是一个理想的选择。但是数据中心运营商不能强迫他们的客户这样做。但是,它可以做的是向其客户或企业用户提供API网关作为服务。如果他们不使用该服务,需要确保将它们隔离开来,以免感染数据中心的其他部分。”   另一个挑战是,API网关不能总是部署到所有平台上,并且提供商之间存在差异,这给管理带来了挑战。  

此外,API网关可能是单点故障,并增加了复杂性和管理开销。总部位于帕洛阿尔托的应用程序安全供应商数据定理的首席运营官Doug Dooley说,“我们的客户正在构建微服务,其中一种应用程序具有难以置信的规模,并已在全球数十个数据中心中部署,有不同离散形式的代码,它们都通过API进行通信,企业中有成千上万个API。”  

他说,“在这种情况下,试图通过API网关强制执行所有操作都是没有意义的。它不具有可扩展性或成本效益,绕过这个瓶颈很简单。”  

FireMon公司技术联盟副总裁Tim Woods提出了一种API安全的分布式方法。这种方法可能更加动态和灵活。对于边缘计算应用程序来说,速度也更快。他说:“每当企业必须到中央清算仓库或中央网关时,都必须担心延迟。”  

Barracuda 网络公司应用程序安全产品管理副总裁Nitzan Miron表示,企业在寻找基础设施中所有活动的API时也遇到了问题。当基础设施包括公共云时尤其如此。他说,“传统的网络资源清册(扫描IP范围)在IP都由公共云提供商甚至多个提供商动态分配的情况下是毫无价值的。”  

但是他补充说, API网关工具已经日趋成熟,并且最近开始添加功能来正确审核和控制API访问。他说:“随着这些工具的成熟和易于使用,找到合适的工具并安装在所有公司的API和应用程序上而不会造成业务中断的挑战将会越来越小。”

【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-10-16 10:15:00
国际资讯 谷歌称内华达州1,210英亩土地将用于未来数据中心
谷歌今天证实,已以2910万美元收购了内华达州北部一个工业园区的1,210英亩土地用于数据中心建设 <详情>
2019-10-15 12:51:00
机房建设 如何保证托管数据中心的安全
数据对于组织和个人来说是私有的,但数据中心通常是共享的。而这是托管数据中心服务商必须面对的安全问题。 <详情>
2019-10-14 17:51:00
国际资讯 AI技术将在国外政府数据中心内大行其道
在过去10年中,美国政府机构的数据中心得到整合并变得更加高效,并将人工智能和自动化技术应用在数据中心运营中 <详情>
2019-10-14 11:53:00
国际资讯 微软希望明年开始从约翰内斯堡和开普敦的数据中心向非洲客户提供云服务
华盛顿州雷德蒙市的技术巨头本周宣布了计划在非洲大陆开设首个云数据中心的计划。 <详情>
2019-10-11 09:31:00
国内资讯 数据中心:被北上深“嫌弃”的新兴产业
尽管有“新兴产业”的响亮头衔,数据中心在一些一线城市仍有点不受待见,原因可能是:用电太多。 <详情>