Akamai 是一家致力于支持并保护在线商业活动的网络安全和云计算公司。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在海外分布广泛的平台上提供高性能且经济实惠的服务。众多全球企业信赖 Akamai,凭借我们卓越的可靠性、扩展性和专业技术,企业能够从容拓展业务。
应用程序编程接口 (API) 端点是客户端可以访问 API 的特定路径或 URL。这些端点充当授权入口,使应用程序能够与服务进行交互、检索数据并执行某些功能。
端点可能会暴露敏感信息并允许访问关键系统,因此网络犯罪分子将 API 端点视为一种非常有效的攻击媒介。保护 API 端点的安全,安全团队必须采用多层安全方法,并遵循几项关键的最佳实践。
API 端点是什么?
API 是一组定义和协议,允许一个软件程序或系统与另一个软件程序或系统进行通信。API 充当中间角色,治理系统之间允许的交互方式,并使应用程序能够与其他应用程序、客户和外部用户共享数据和功能。由于它们允许应用程序访问其他应用程序的数据和功能,因此 API 有助于连接应用程序和系统,同时使开发人员能够更快地创建更强大的应用程序。
API 端点充当应用程序之间通信的网关,提供数据或资源的确切位置。从基础层面来看,API 端点就是特定的 URL,使应用程序或系统能够访问另一应用程序或系统提供的资源或服务。这些端点 URL 使客户端应用程序能够发出 HTTP 请求,如 GET、POST、PUT 或 DELETE,以便与 API 进行交互。向端点发送请求时,需附带具体的 HTTP 方法及 URL。API 服务器处理请求并返回响应。这种简单的交互是现代 Web 应用程序的基础。
API 端点安全的需求
API 在现代应用程序和数字系统中发挥着至关重要的作用,因此企业安全团队必须妥善保护 API 端点。卓越的 API 端点保护能帮助企业实现关键目标。
- 保护敏感数据:API 端点通常会处理个人信息、财务详情和知识产权等敏感数据。在端点未得到保护时,攻击者可能会利用它们来窃取数据或破坏敏感信息的机密性和完整性。
- 维系用户信任:未能保障 API 端点安全将严重损害企业声誉,并削弱用户、客户及合作伙伴的信任。要与这些利益相关者建立信任关系,需要强大的端点安全性。
- 确保合规性:在许多受监管行业中,未能保护敏感客户信息和机密数据可能会导致高额罚款和法律处罚。通过确保遵守 GDPR、HIPAA 和 PCI DSS 等法规和标准,卓越的安全防护有助于避免这些后果。
- 防范经济损失:在攻击者清空银行账户或以欺诈方式转移资金时,数据泄露和安全事件通常会导致直接经济损失。然而,未能保护 API 端点也会带来补救措施、取证调查和业务机会丧失等间接成本。
- 避免业务中断:API 端点是应用程序和系统性能不可或缺的一部分。强大的端点安全性有助于防止中断和停机,以及可能导致应用程序运行速度下降或崩溃的拒绝服务 (DoS) 或分布式拒绝服务 (DDoS) 攻击。
保护 API 端点的挑战
要保持强大的 API 端点安全性,IT 团队必须应对一系列挑战。
- 复杂的攻击面:为使其他应用程序和系统可以使用各种功能,API 必须公开多个端点。这种公开与 API 数量的增加相结合,导致攻击面大幅度扩大。每个暴露的端点都是攻击者的潜在入侵点。
- 新威胁:攻击者在不断改进其方法,并寻找新的漏洞进行攻击。要紧跟最新威胁并确保所有 API 端点都受到保护,就需要始终保持警惕。
- 缺乏监测能力:由于跨本地和云端的 IT 生态系统日渐复杂化、分散化,IT 安全人员往往难以监测和清点其全部 API。第三方 API、开源 API 和影子 API 使得识别资产变得更加困难。
- 性能影响:保护 API 端点的许多技术(例如加密、验证和速率限制)都有可能对 API 的响应速度和性能产生负面影响,具体取决于所用工具类型。IT 团队必须在满足安全需求与为用户提供快速无缝体验的需求之间取得精确平衡。
- 开发时间表:开发团队持续面临着更快发布新应用程序和 API 的压力。当团队每天在压力下发布新产品或新版本时,安全测试的严谨性和对安全协议的遵守可能会受到影响。
- 快速增长:在许多企业中,API 和 API 端点由不同领域的多个团队开发,但缺乏将安全性引入流程的中央框架。因此,在生产环境中保护 API 端点往往变得更加困难。
- 集成:API 通常与其他系统、Web 服务和 Web 应用程序集成。如果这些外部系统的安全态势不达标,就可能会引入新的漏洞。
API 端点安全威胁
针对安全 API 端点的威胁范围庞大并且在持续增长。一些较常见的威胁包括:
- 失效的身份验证和授权流程:在身份验证机制薄弱或实施不当时,攻击者可能会获得未经授权的 API 访问权限。授权流程中的问题可能会使合法用户或攻击者拥有他们本不该拥有的权限,从而导致潜在的入侵。
- 注入攻击:将恶意代码或数据插入 API 请求中,以利用 API 代码中的漏洞或缺陷时,就会发生注入攻击。因此,攻击者或许能够执行恶意命令或访问未经授权的数据。
- 拒绝服务 (DoS) 攻击:针对 API 端点发起的 DoS 攻击,试图通过发送过量的请求或利用会耗尽 API 端点全部资源的漏洞,导致 API 无法供合法用户使用。攻击者可能会向端点发送大量请求,超出其处理流量的能力。在其他方法中,攻击者会建立与 API 的过多连接,或发送恶意构建的 XML 有效负载,以消耗服务器、内存和 CPU 资源。
- 敏感数据泄露:部分攻击利用从未加密流量中获取的信息,或 API 端点因响应 API 请求而无意间暴露过多信息的情况。
- 中间机器 (MITM) 攻击:在这种形式的 API 端点威胁中,攻击者会拦截和/或更改毫无戒备的两个通信方之间的通信,从而可能导致数据盗窃、操纵和未经授权的访问。为了将自己置于客户和 API 服务器之间,攻击者可能会使用窃听或 DNS 欺骗式攻击等技术。
- 安全配置错误:如果 IT 团队未正确配置 API 端点,攻击者就有可能轻易获得未经授权的访问权限。配置错误可能源于设置不完整、安全设置不当或未能及时更新。
- 暴力破解攻击:攻击者经常使用自动化工具,尝试通过大量的登录账号和密码组合来入侵账户。
保护 API 端点的解决方案
为了保护 API 端点的安全,IT 团队可以部署各种技术和解决方案。
身份验证和授权技术:实施经过验证的框架和技术来对客户端进行身份验证和授权,是保护 API 端点的最重要步骤之一。OAuth 2.0 是一套用于管理基于令牌的安全授权框架,为 HTTP 服务上的用户帐户提供有限的访问权限。OpenID Connect 在 OAuth 2.0 的基础上添加了一个身份层。JSON Web 令牌 (JWT) 是一种紧凑的、URL 安全的方式,用于表示双方之间传输的声明。
数据加密解决方案:使用 SSL/TLS 协议对传输中数据进行加密,可确保 API 调用不会被拦截或篡改。数据在客户端和服务器之间移动时,传输层安全 (TLS) 技术会对数据进行加密,以防止窃听和篡改。安全套接字层 (SSL) 是一种较早的加密模式,现在大多已被 TLS 取代,以提高安全性。
API 网关:作为 API 请求的单一入口点,网关在 API 端点提供某些保护。网关可以执行速率限制、负载平衡和监控等某些安全功能。
速率限制和节流:通过控制客户在特定时间段内可发起的 API 请求数量,速率限制技术能防止滥用并抵御 DoS 攻击。节流通过限制客户可用的带宽来防止资源被过度使用。
防火墙:Web 应用程序防火墙 (WAF) 可保护端点免受跨站点脚本攻击 (XSS)、SQL 注入和其他安全威胁等常见漏洞的侵害。
SIEM:安全信息和事件管理系统收集和分析 IT 生态系统中不同资源(包括 API 端点)的活动,以提供安全警报的实时分析。
访问控制:提供基于角色的访问控制 (RBAC) 的技术可根据单个用户的角色,来限制对 API 端点的访问。基于属性的访问控制 (ABAC) 使用用户、资源和环境等属性来控制访问权限,并做出上下文感知访问决策。
API 管理平台:这些解决方案提供了用于创建、发布、监控和保护 API 端点的工具。内置安全功能可能包括 API 密钥管理、用户身份验证、分析等工具。
监控和日志记录:用于 API 流量的应急监控工具可揭示可能表明恶意活动的异常模式。日志记录解决方案会保留 API 请求和响应的详细记录,以便进行审计和取证分析。
爬虫程序管理平台:爬虫程序管理解决方案可检测和管理爬虫程序流量,以防止针对 API 端点的自动攻击、数据抓取和其他恶意活动。
安全测试:安全测试技术包括自动化扫描工具和手动渗透测试。
保护 API 端点的最佳实践
除特定安全技术之外,企业还可以通过遵循多种最佳实践来帮助保护 API 端点。
- 输入验证:确保所有输入都经过适当验证,可以防止注入攻击等威胁。清理输入以删除潜在有害数据也有助于防止攻击。
- 采用 Zero Trust:在 Zero Trust 安全模型中,默认情况下,企业内部或外部的任何实体都不受信任。每个请求访问 API 端点的用户、设备和应用程序都必须在每次请求时持续接受身份验证和确认。Zero Trust 还包含最小权限原则,即用户和应用程序仅拥有执行任务所需的最低级别访问权限。
- 使用 HTTPS:将 HTTPS 作为唯一可用的通信选项,IT 团队可以防止数据包嗅探器和中间设备 (MITM) 攻击轻而易举地窃取密码、私钥和信用卡信息,或者从明文读取敏感信息。
- 使用单向密码哈希技术:采用单向加密技术(散列)而非对称加密技术来保护密码,能有效提升其抵御攻击的安全性。
- 安全 API 设计:在开发过程中引入安全措施有助于生成具有更少漏洞和缺陷的 API 端点。
- 修补和更新:IT 团队应定期为端点应用补丁和更新,以消除已知缺陷、漏洞和其他安全风险。
常见问题
API 端点是 API 中允许客户端与后端服务交互的特定路径。每个端点都代表一个独特的功能或资源。
由于底层协议和标准不同,REST(表述性状态转移)API 与 SOAP(简单对象访问协议)API 需要采用不同的安全策略。REST API 更轻量、更简单,便于实现但需要更全面的安全机制。REST API 安全主要依赖于传输级别的安全、基于令牌的身份验证和 HTTP 安全机制。SOAP API 端点需要同时采用传输级别安全性和基于 WS-Security 标准的消息级安全性。
Akamai 安全解决方案
Akamai 安全部门致力于为推动业务发展的应用程序提供全方位安全防护,而且不影响性能或客户体验。诚邀您与我们合作,利用我们规模庞大的全球平台以及出色的威胁监测能力,防范、检测和抵御网络威胁,帮助您建立品牌信任度并实现您的愿景。