如何通过零信任架构实现 API 安全?

​有数据显示,大多数企业在面对API攻击时都没做好准备:

  • API攻击在过去681个月中增加了12%
  • 95%的受访者在过去一年内均有经历过API安全事件
  • 34%的受访者表示缺乏API安全策略
  • 62%的受访者承认,由于API安全问题,推迟了新应用程序的上线

根据Google Cloud最近关于API安全的报告显示,API安全威胁主要来自:

  • API配置错误(40%)
  • 过时的API、数据和组件(35%)
  • 垃圾邮件、滥用、机器人(34%)

一、网络安全:API是新端点

当攻击和违规行为变得越来越复杂,企业通过现有的安全和API管理工具,例如,Web应用程序防火墙(WAF)和 API网关,来防范安全事件还是不够的。

尤其是基于身份验证和授权后,攻击和违规行为在API数据有效负载中也就更加深刻。因此,当企业在关注身份验证和授权安全的同时,也需查看应用程序和API数据有效负载层,方法之一就是将API安全性视为传统端点安全的类比。

二、纵深防御(DiD)

纵深防御(DiD,Defense in Depth)是指在信息系统上实施多层安全控制/防护措施,可分为

  1. 边界防御(反恶意软件签名)
  2. 入侵检测/防御(IDS/IPS/EDR)

1、边界防御

作为防护的第一线,边界防御在端点安全方面,使用签名和IP拒绝列表来防御已知攻击方法。

在API安全方面,WAF给出了很好的功能标准:

  • IP允许和拒绝列表
  • WAF规则引擎
  • 速率限制
  • 故障注入/模糊

2、入侵检测

安全可见是预防攻击的关键要素,当攻击者突破边界后,企业需要识别哪些文件/进程/流量可能与恶意攻击有关。

在端点软件中,可以基于主机的IDS/IPS来检查通过前门的所有请求,也可使用APT检测和机器学习等检测方法,直观评估针对性攻击。

实现行为分析的典型方法有:

  • 蜜罐
  • 端点检测和响应(EDR)
  • 威胁情报(文件和进程)

现今,API安全解决方案还可提供上述组合技术。例如,蜜罐中收集的项目可以发送到威胁情报源中,以供WAF或Web应用程序和API保护 (WAAP)使用。

二、当API安全遇上零信任

由于API调用大多是临时、跨云运行、以多语言方式编写、使用不同协议的,因此其创建了一个复杂的环境。一旦API配置错误,或面对未清除的边界,企业需要的就不仅仅是纵深防御(DiD)。

零信任从本质上为攻击者设置障碍,使其无法在环境中横向移动。基于“持续验证,永不信任”的防护理念,零信任对所有终端、服务器、API、微服务、数据存储和内部服务进行严格统一的验证步骤,同时对来自内部或外部的访问请求,手机或PC,API调用或HTTP请求,普通员工或CEO,均采用“不信任”。

三、理想的零信任API安全

如果要在API中采用复杂的异构环境,零信任API安全解决方案必须能够部署为多种格式,支持不同的设置,如:

  • Docker容器
  • 独立的反向代理
  • Web/应用程序服务器代理
  • 嵌入Kubernetes入口控制器

在云和现有应用程序架构的支持下,自动化和可扩展性将得到照顾。

1、不更改现有架构

为了保持协调,“代理”(或微实施点)必须能够部署在现有应用程序之上,而无需更改架构,同时确保最小延迟和最大控制。

2、本地处理

要真正采用零信任,安全处理应在本地完成,因为:

  • 敏感数据不会离开受保护的环境
  • 无需与第三方共享证书和私钥
  • 不依赖第三方正常运行时间来处理流量

3、业务流程

在理想情况下,需要可以注入到应用程序环境中的解决方案,同时业务流程可以管理并进行以下操作:

  • 代理注册/注销
  • 政策更新
  • 配置更新
  • 软件更新
  • 日志记录
  • 数据同步

总之,零信任API安全应采用各种形式融入现今的应用环境,且最好的解决方案应该能够提供业务流程和所有安全功能。

四、零信任安全防护系统的建设

零信任安全防护系统,是一款基于 “永不信任、持续验证”安全理念,采用S I M技术的架构体系,整合软件定义边界技术(SDP)、身份认证及访问管理控制技术(IAM)和微隔离技术(MSG)等技术的安全防护系统,确保政企业务访问过程身份安全、设备安全、链路安全和应用安全,为政企应用提供统一、安全、高效的访问入口,打造了”安全+可信+合规”三位一体政企网络的纵深安全防御体系。

五、结语

API是当下应用程序的中枢神经系统,它可以将关键信息和数据在应用程序内部,或应用程序之间进行移动。因此,API安全应该被优先考虑。

采用零信任框架将保护重点从单一措施转移到不同核心(用户、设备、网络、应用程序和数据),可以帮助企业持续监控并确保API访问的每一部分都处于最低权限。​

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/124424.html<

(0)
管理的头像管理
上一篇2025-02-23 06:44
下一篇 2025-02-23 06:46

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注