iT邦幫忙

0

在零信任世界裡,如何保障API的安全性?

  • 分享至 

  • xImage
  •  

雲計算大行其道的今天,傳統的安全邊界概念正在發生前所未有的變化。
為了實現雲安全,許多企業採用零信任架構(ZTA)原則,其中很多原則側重於評估使用者信任度,並通過主要用戶介面管理對敏感網路、系統和數據的存取。

然而,許多ZTA計劃在設計持續評估信任的方法時,卻忽略了基於應用程式程式設計介面(API)的存取操作,其實這類操作的功能和存取正日益普遍。

本文將介紹API與ZTA之間的一些交叉點,還將概括介紹為了將ZTA擴展到API而可以採取的一些初步措施。

零信任是什麼?

2010年,Forrester向企業介紹了ZTA原則。
此後,Forrester和其他眾多行業利益相關者(包括美國國家標準與技術研究院)在NIST特別出版物800-207中,對ZTA的設計進行了大量改進。

簡單來說,零信任假定任何用戶或設備都不能被預設信任。
相反,在每次嘗試存取敏感資源時,都要對使用者或設備進行評估,並在此後持續進行評估。

多年來,ZTA更像是一個討論話題,而不是企業在現實世界中追求的目標。
但在新冠疫情大流行的刺激下,許多企業開始推進採用ZTA原則的具體計劃。

API和零信任的交叉點在哪裡?

NIST SP 200-807概括介紹了零信任的七項基本原則。
雖然這些原則所包含的內容遠不止基於API的應用程式功能和數據存取,但它們與企業的API戰略也有非常明顯的交叉點。

零信任的七大基本原則

下表列出了NIST SP
200-807中定義的ZTA七項基本原則,以及使企業API安全實踐與這些原則保持一致的建議。

https://ithelp.ithome.com.tw/upload/images/20240227/20164635CWLFmjTkS5.png
https://ithelp.ithome.com.tw/upload/images/20240227/20164635VvR3t6JifQ.png
https://ithelp.ithome.com.tw/upload/images/20240227/20164635KDZTvpfYsV.png
七個步驟將ZTA擴展到API

對於大多數希望採用ZTA的企業來說,最大的挑戰之一是決定從哪裡開始。
就API安全而言,實施以下功能將對安全態勢產生立竿見影的影響,同時還能為我們提供將API安全納入未來ZTA計劃所需的基礎:

  1. 實施持續的API發現並維護所有API和API可存取資產的準確清單

  2. 當發現未經許可的API時,確保系統化的工作流程到位,以便將其納入管理或消除

  3. 無論API是公共的還是私有的,都要實施完善的API身份驗證和授權

  4. 從OWASP API安全十大漏洞入手,積極主動地識別API漏洞,並將其作為一項持續的紀律

  5. 開發分析大型API流量數據集的能力,以確定正常行為基線並執行異常檢測

  6. 在通過API集成實施ZTA策略引擎時,將威脅和信任洞察反饋到ZTA策略引擎中

  7. 當出現API漏洞、威脅和濫用時,啟動自動響應機制

總結

將API安全納入ZTA計劃,這是一項長期的、系統性的工作。 Akamai API
Security為使用者提供了必要的工具和支援,幫助用戶實施全面的API安全性。
歡迎關注 Akamai,進一步瞭解該解決方案的強大功能和Akamai能為企業提供的説明。


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言