本文来自微信公众号“安全牛”。
随着传统网络边界的不断变化,零信任架构(Zero Trust architecture,ZTA)已经从一个讨论话题,转变为许多企业组织积极推进采用的切实计划。然而,在许多企业所制定的ZTA应用计划中,在设计持续评估信任的方法时,往往会忽略对API安全性的关注。
日前,云安全厂商Akamai的安全专家Abigail Ojeda发表了一篇博客文章,从实现零信任架构的7个基本原则视角,对如何将零信任与API安全性有效融合进行了分析和思考,并就企业如何开展API安全能力建设提出了具体建议。
API安全性与零信任的交叉点
在美国国家标准与技术研究院(NIST)发布的NIST SP 200-807标准中,概述了实现零信任架构的七个基本原则。虽然这些原则并不专门针对API安全性所设计,但是同样可以给企业的API安全建设提出明确建议和指导。企业组织应该参考NIST SP 200-807标准所提出的七个基本原则,让企业的API安全防护与零信任安全建设保持一致。
原则1、将所有数据源和计算服务都作为需要保护的对象。
零信任安全的覆盖范围并不仅仅是针对那些可以被看到的应用程序和数据。有许多应用程序和数据源是无法通过直接的用户界面来展示的,但它们却可以通过API被访问到。因此,在企业组织的零信任建设规划和策略实施模型中,应充分考虑并包含所有的API接口。
原则2、无论是位于企业网络的内部还是外部,所有的通信连接都必须是安全的。
按照此原则,企业应该为所有的API应用设计合适的保护措施。即使某些API仅用于私有的数据中心环境,或仅在云环境内部被使用,企业也应该对其进行数据加密、身份授权和访问控制,以确保数据的机密性和完整性。
原则3、对每个企业资源都进行基于连接的精细化授权。
组织应该将所有的API应用都视为独立的资源,在对其进行访问权限之前,都应该基于连接来评估信任。企业应该以尽可能少地为API应用授予不必要的访问权限。同时,还应该使用行为分析来监控API使用状态并持续评估它的可信任度。
原则4、动态决定对资源的访问权限,同时包括对其行为属性进行分析。
在2023年最新发布的OWASP API安全性TOP 10排行中,已经明确将缺乏API管控限制定义为一种对敏感业务流的无限制访问漏洞。而NIST也同样指出,要基于业务流程的需求和可接受的风险水平来合理设置相应的权限。因此,企业应该将本条原则有效应用于API应用,组织必须能够识别所涉及的业务实体,结合业务流的上下文信息全面判断,并使用行为分析来监测其与正常使用模式之间的偏差。
原则5、企业应持续监控并评估其所有内外部数字资产的完整性和安全性。
这条原则是基于美国网络安全和基础设施安全局(CISA)定义的资产持续诊断和缓解(CDM)概念所提出。在CDM概念中包括了资产管理、漏洞管理和配置管理等多项应该管理的要素。
就像所有的企业实物资产一样,API应用也必须不断地被发现、分类和跟踪。因此,在零信任建设中所包含的脆弱性评估工作,应该超越传统意义上的安全漏洞,全面覆盖到基于API在内的更多新型安全漏洞。
原则6、所有资源的身份授权和验证都是动态的,并在其进行资源访问前强制实施。
这个原则其实很容易扩展到面向所有的API应用。采用零信任安全架构的组织应该对所有的API使用情况进行持续监控,并使用自动化技术对API流量中检测到的异常或滥用行为进行响应处置。
原则7、企业应尽可能收集关于资产、网络基础设施和通信的实时状态信息,并将其应用于改善网络安全。
要让API安全性真正融入企业整体的零信任安全体系中,企业所制定的各项API安全措施就必须能够长时间获取数据,并有足够的时间来检测细微的API滥用。这对于执行行为分析以实现实时风险评估和零信任策略持续优化是非常必要的。为了实现这个原则,安全分析师需要提供对API和威胁数据的按需访问,以便找出问题并改进。
建立API安全性的7个建议
对于大多数想要部署应用零信任安全架构的组织来说,最大的挑战是决定从何处入手。就API安全性而言,采取以下建设步骤或将为其融入企业整体的零信任安全计划打好基础:
●实现持续的API资产发现,并维护一份API应用和可访问资产的完整清单;
●当发现未经批准的API时,确保有合适的管控措施,要么将其纳入统一管理,要么将其快速消除;
●无论API应用是公共的还是私有的,都要实现有效的API身份验证和授权;
●从OWASP API安全性TOP 10排行榜入手,主动识别API应用中的安全漏洞,将其作为一项持续的安全工作;
●开发或选型能够分析大型API流量数据集的工具,以确定正常API应用行为的安全基线并执行异常检测;
●向ZTA策略引擎提供威胁和信任见解,因为它们是通过API集成实现的;
●当出现API漏洞、威胁和滥用时,能够快速启动事件响应和处置。