将企业应用程序和数据连接到云的应用程序编程接口(API)与常规的基于云的应用程序具有相同的漏洞,需要以同样严格的方式加以解决。
什么是API?
API是一套编程代码,用于实现软件产品之间的数据传输。它还包含这种数据交换的术语。
API有许多用途。一般来说,它们可以简化和加快软件开发。开发人员可以将其他供应商的功能添加到现有的解决方案中,或使用第三方供应商的服务建立新的应用程序。在所有这些情况下,应用程序开发人员不必处理源代码,试图了解第三方解决方案如何工作。他们只是将自己的软件与另一个软件连接起来。换句话说,API充当了两个系统之间的抽象层,隐藏了复杂性和工作细节。
API无处不在
API基本上允许应用程序或应用程序的组件通过互联网或私人网络相互通信。最初,大多数组织在安全的私人网络内使用它们,或通过VPN等安全通信渠道访问它们。然而,各组织已经认识到API在实现其数字转型计划方面的潜力,并开始使用API向合作伙伴、供应商和客户开放对其应用程序和数据的访问。
API在企业环境中的普遍性令人震惊。Forrester公司最近的一项调查发现,77%的组织同时开发和使用API。API最常见的使用情况仍然是内部工具、团队和系统之间的互操作,以减少开发时间和成本。其他流行的用例包括与外部组织合作、扩展产品或服务功能以及从外部产品中吸收数据和功能。
不安全的API是一个日益增长的威胁
尽管它们在简化云计算流程方面的适用性越来越强,但API往往是安全问题的来源,尤其是在不受保护的情况下。攻击者可以利用不安全的API来破坏或窃取敏感及私人数据。据Gartner估计,到2022年,API将成为涉及企业应用数据的攻击中使用最频繁的载体。Forrester调查发现了围绕API使用的一些主要安全问题,并警告说API漏洞变得越来越普遍,成为威胁者的下一个主要攻击向量。
Forrester公司的分析师Sandy Carielli说:“组织在保护其网络应用程序时,不能忘记他们的API“。”安全专家必须专门建立API安全,而不是假设它已纳入他们现有的Web应用保护中”。
安全公司Salt Security的另一项调查显示,调查中91%的组织在2020年遭遇了与API有关的问题。超过一半(54%)报告在他们的API中发现了漏洞,46%指向身份验证问题,20%描述了机器人和数据抓取工具造成的问题。
不安全的API的主要来源
围绕API的许多安全问题都与从早期基于SOAP消息传输协议的API到今天的REST API的转变有关。
SOAP APIs通常是通过VPN或双向加密连接进行安全访问。另一方面,REST APIs是为通过浏览器和移动应用程序访问而设计的。例如,当移动用户在其手机上进行机票预订时,REST API将用户的指令传递给航空公司的后端应用程序,并将响应传递给用户。
网络犯罪分子使用相同的工具破坏web应用程序,利用REST API进行攻击。因此,诸如最低权限数据访问和服务器端数据验证等成熟的安全最佳实践,对于API和web应用程序都至关重要。
此外,不安全的REST APIs可以直接访问事务更新和后端系统上的其他重要数据。造成这种威胁的关键因素是,企业往往无法识别和跟踪其移动或网络应用中的所有API端点,或实施足够的控制来验证和核实API调用。这类未跟踪的端点会增加企业未经授权访问和数据泄露的风险。
“记住,API的作用是使各种应用数据和功能对组织外的开发者可用,”Carielli说。”因为API端点可以被外部调用API的任何人访问,所以返回敏感信息的恶意端点是高风险的。”
生产API中的漏洞是另一个常见的安全问题。根据Salt Security的调查,尽管组织正在应用“左移”原则并将安全控制更早地整合到应用程序开发生命周期中,但是他们并没有用运行时安全来补充他们的安全策略。
尽管存在这些威胁,Salt Security的调查也显示,许多组织未能以强有力的方式处理这个问题:超过四分之一(27%)的组织承认根本没有处理API安全的策略,54%认为他们的策略充其量只是基本策略。83%承认不确定自己的API库存,82%对暴露PII、持卡人数据和其他敏感信息的API缺乏信心。
此外,超过五分之一的组织承认无法知道他们的哪些API暴露了个人识别信息,许多人表示,他们最大的担忧是网络上过时和僵尸API的流行。
经过认证的云安全专家如何保护API
API所使用的技术、设计和环境的多样性使得保护它们成为一项挑战。然而,经过认证的云安全专家在其知识库中拥有许多安全措施和政策,可以利用和加强API安全。
云安全专业人员可以鼓励开发者实行良好的 “API卫生”。 API的设计应考虑身份验证、访问控制、加密和活动监控,并且API密钥必须受到保护,不能重复使用。
组织需要在API设计阶段注意安全措施,如默认拒绝和验证任何客户端提供的数据。他们还应该确保所有的API流量,就像web应用程序流量一样,都是加密的,但加密的方式不会影响性能。同样关键的是,需要在每一层对API调用进行身份验证,并停止将API仅仅视为应用程序之间的接口层。
为了实现更高级别的安全性,软件开发人员应该依赖于在设计时考虑到安全性的标准API框架,如开放云计算接口(OCCI)和云基础设施管理接口(CIMI)。
最后,云安全专业人员应部署能提供完整可视性的解决方案,如网络检测和响应,以快速识别和解决API安全风险。对API具有可见性是对API设计的安全策略的补充,以确保在罪犯利用它们之前识别和解决所有风险和盲点。
CCSP认证如何帮助您获得成功
ISC2云安全专家认证(CCSP)是对关于保护您宝贵的API和保护您的应用程序及数据不被暴露的所有担忧的答案。CCSP是云安全认证的基准,并被反复确认为最有价值和最全面的云安全认证。
CCSP是一个与供应商无关的认证,确保认证的从业人员拥有安全知识,能够成功地保护任何云环境中的数据。正是CCSP的独特标准将其提升到一个标准,使其被认定为首屈一指的云安全认证,在竞争日益激烈的企业环境中提供了优势。
获得CCSP认证表明您拥有先进的技术技能和知识,能够使用ISC2网络安全专家制定的最佳实践、政策和程序来设计、管理和保护云中的数据、应用程序和基础设施。
要了解更多关于CCSP认证如何帮助您获得专业知识并推动您的职业生涯,请下载我们的白皮书《云安全技能让您的职业发展前景无限(甚至更远)》。