保护API安全的4种基本工具

如今,受数字化驱动影响,越来越多的组织依赖应用程序接口(API)开发Web应用程序和其他服务。

同时,黑客也在不断演变发展,开发新工具来攻击系统平台,和Web应用程序。

API带来新的风险

API是用于构建软件应用程序的接口,协议和工具的集合。

通常,API使程序员能够轻松地与编程语言,软件类库或其他软件工具进行交互。因此,API越来越多地被用于开发新的Web应用程序,这些应用程序提供了更丰富,响应更快的用户体验,尤其是对于移动设备用户而言。API还用于向内部用户,外部合作伙伴和客户“作为服务(as a service)”公开数据。

系统攻击者也紧随这一趋势,但是许多组织根本没有做好应用攻击的准备。

常见的API攻击包括注入攻击,其中恶意攻击信息会作为查询或命令的一部分被转移到API中,从而导致未经授权的信息访问。针对API的DoS攻击会使Web应用程序无响应,API身份验证和访问控制可能会被破坏。传统的中间人攻击(man-in-the-middle attacks)也会擅自了修改API。

其中RESTFul API特别容易受到攻击,因为它们使用HTTP作为其基础协议。结果是,只要组织未能实施保护API安全工具和策略,企业和客户数据泄露的风险就会增加。

解决API安全威胁

幸运的是,有各种各样的工具可用来帮助组织有效地保护API的安全。每个组织都应该使用以下四个基本安全解决方案:

  1. Web 应用防火墙是保护API的第一道防线。Web 应用防火墙(WAF)经过明确设计,可以保护传统的和基于API的Web应用程序。它们不仅可以补充防火墙所提供的基于签名的防御和保护IPS平台,而且与任何其他安全解决方案不同,Web 应用防火墙(WAF)还可以提供广泛的应用程序保护。这样做是因为Web 应用防火墙(WAF),可以理解应用程序逻辑以及Web应用程序中存在的元素,例如URL,参数甚至使用的cookie。通过监视应用程序的使用情况和行为以及进行深入检查,Web 应用防火墙(WAF)可以为使用中的每个应用程序建立正常行为的基准。然后,当出现异常时,Web 应用防火墙(WAF)可以触发操作来保护你的应用程序,无论是在数据中心还是在云中。

    Web 应用防火墙(WAF)的解决方案,也可以防御恶意请求来源、DDoS攻击、和针对api和web应用程序的复杂威胁,包括SQL注入、 跨站脚本攻击(Cross-site scripting,XSS) ,缓冲区溢出、 cookie泄露等。

  2. Bot管理至关重要,因为恶意Bot网络是API攻击的主要工具。为了快速保护网站,移动应用程序和API免受自动威胁的侵害,某些Web 应用防火墙(WAF)解决方案允许管理员配置一种 Bot Mitigation 功能,该功能可检查签名,例如客户端事件否发生可疑行为。
  3. API网关提供了广泛的功能,例如流量管理,监视和日志记录以及API版本控制。但是,API网关还应包括其他基本安全功能,从授权和身份验证开始,以保护用于API访问的单个入口点。这样可以确保只有授权的开发人员和管理员才能访问API资源。其他安全功能应包括API密钥验证,速率限制等。它还应包括动态攻击签名,以使其能够识别针对API的威胁。

    除此之外,API安全性应包括模式验证(schema validation),以验证API语法,测试API是否满足软件系统在功能,可靠性,性能和安全性方面的期望。

  4. DDoS攻击主要针对第7层(应用层),因此Anti-DDoS解决方案必须能够检测针对API的威胁。这些攻击只需要几Mb的数据包,就可以模拟出由数百千Mb数据构成的大规模容量攻击一样危害软件系统。这其中面临的挑战是,大多数Internet服务提供商( Internet Service Providers ,ISP)都专注于DDoS预防,而没有相关工具来检测和拦截这些较小的应用程序级别的威胁。这就方便了攻击者,他们可以频繁地传播恶意或危害信息。

    因此,组织需要确保其总体DDoS防御策略包括检测和积极应对DDoS攻击的能力。

将API安全防御措施添加到你的安全性库中

尽管防火墙确实仍然是数据中心的第一道防线,但针对Web应用程序和API的新威胁要求你的安全基础结构具有新功能。依靠基于签名的检测,IP信誉和DPI的工具可以阻止某些(但不是全部)应用程序和服务的威胁。

为了提供更完整的解决方案,组织需要考虑使用其他安全工具,包括Web应用程序防火墙,API网关和DDoS攻击防御解决方案。这些工具对于保护你的数据和用户免受针对基于API资源的攻击至关重要。

译文链接: https://thenewstack.io/4-essential-tools-for-protecting-apis-and-web-applications/

K8S中文社区微信公众号

评论 抢沙发

登录后评论

立即登录