在零信任架构下的API安全与滥用防护（上）

引言

在当今数字化的浪潮中，应用程序编程接口（API）的战略重要性愈发凸显。API不仅仅是现代软件和互联网服务之间沟通的桥梁，更是企业价值创造的核心。随着API的快速发展和广泛应用，安全问题随之而来，其中API滥用尤为引人注目，它已经成为数字安全领域亟待解决的关键挑战。

传统的网络安全模型，以其定义的安全边界为基础，但在如今混合云和移动办公的背景下，这一概念正被重新定义。越来越多的组织开始采纳零信任架构（Zero Trust Architecture, ZTA）的原则，该原则核心在于不再默认信任任何用户或设备，而是要求在每一次访问敏感资源时都进行评估，然后持续地对其信任度进行监控。然而，在许多ZTA的实施过程中，API基于的敏感应用功能和数据访问方式常被忽视，这一点在设计连续信任评估机制时尤其明显。为了填补这一空白，我们需要高度重视API的安全性，并确保它们在零信任架构下得到充分的考虑和保护。

在本篇文章中，我们将探讨API滥用为何构成了一个独特的问题，它如何影响企业的业务逻辑和数据安全，并讨论如何将API安全性纳入零信任架构中，以构建更为强大和灵活的安全策略。通过细致分析这两个领域的交集，我们不仅能更好地理解API的安全威胁，还能为企业提供一系列切实可行的防护措施，帮助它们在这个不断变化的数字世界中立于不败之地。

API滥用的新挑战

在构筑零信任架构的过程中，API作为信息系统中不可或缺的组成部分，其安全性尤为关键。然而，随着技术的演进，API滥用成为了安全领域中的一个新型挑战。这种滥用并非传统意义上的安全漏洞攻击，而是恶意主体利用API执行非预期的操作，这在零信任的理念下，更显得防不胜防。

图：API安全威胁的来源-谷歌云的API安全报告

根据OWASP的2023年API安全前十大风险报告，API滥用可能导致的风险同传统的安全威胁一样严重。滥用者利用合法的访问权限，以合法用户的身份进行操作，这种行为在系统日志中往往与正常活动难以区分，给传统的侵入检测系统带来了巨大的挑战。在零信任架构下，每一次访问尝试都要经过严格的信任评估，这本质上要求我们对API安全采取更为主动和全面的防护措施。除了持续的监控和评估外，组织需要采用更高级的数据分析方法，比如行为分析和机器学习技术，以识别和防范API滥用。例如，Akamai提出，通过强大的计算能力，SaaS模型能够分析大规模的数据集，从而有效地识别API使用中的异常行为，这是实现零信任中连续验证原则的关键环节。

当前，防御API滥用不仅要求技术层面上的创新，也需要在政策和战略层面上进行深思熟虑的规划。在这个不断变化的安全环境中，我们必须重新审视我们的API安全策略，确保它们能够与零信任架构的核心原则相融合，以应对日益复杂的威胁。在零信任的框架内，任何设备或用户都不再是默认可信的，这就要求我们对API的管理策略进行彻底的重新设计。从API发现、认证、授权到行为监控和异常检测，每一个环节都必须严格遵守零信任的原则。通过这种全方位的策略，我们可以更好地防范API滥用，保护企业的关键业务流程免受威胁。

在未来，随着零信任理念的进一步深化和技术的持续发展，API安全策略将变得更加智能化和自动化，但今天，我们必须采取切实可行的步骤，为迎接这些挑战做好准备。

零信任架构的基本原则

在零信任架构中，"永不信任、始终确认"的原则为企业安全构建了全新的基础。这种架构不依赖于传统的边界防御，而是在每一次资源访问中实施严格的身份验证和权限控制。这个转变对API安全尤为关键，因为API是现代企业IT架构中数据和服务交互的关键通道。零信任架构的核心在于消除内部和外部网络之间的信任区别，它要求对网络内的所有访问行为都进行严格的安全检查，无论访问请求来源于内部还是外部。这种模式认为安全威胁可以来自任何地方，因此必须对每个访问请求都实施连续的安全验证。这对于企业意味着必须在每个网络节点、每个数据流程、每个API调用中实施安全控制，从而确保数据和资源的安全。

在零信任框架下，API安全成为实现安全目标的重要支点。每个API都是一个潜在的访问点，需要被严格控制和监管。以下是零信任原则与API策略交集的关键点：

1. 身份验证：在零信任架构中，所有API调用都需要强验证，确保只有经过验证和授权的用户和系统可以访问API。
2. 最小化权限：每个API的访问权限都应该限制在绝对必要的最小范围内，以减少过度权限所带来的安全风险。
3. 动态策略：API访问策略应根据访问上下文动态调整，实时反映访问请求的风险级别，以及用户和系统的信任度。
4. 持续监控：实时监控API的使用情况，分析访问模式，以便于快速发现和应对异常行为和潜在的安全威胁。

通过这些策略的实施，API不仅成为服务和数据交互的桥梁，也成为实施零信任架构的关键环节。这确保了企业能够在开放和灵活的IT环境中保持强大的安全防护，为企业的数字化转型提供了坚实的安全基础。

零信任的七大基本原则与API安全

下表包括 NIST SP 200-807 中定义的 ZTA 的七个基本原则，以及使组织的 API 安全实践与这些原则保持一致的建议。

零信任架构的 7 个基本原则	API 安全隐患
1.“所有数据源和计算服务都被视为资源。”	ZTA 范围内的许多应用程序和数据源除了直接的用户界面外，还可以通过 API 访问。因此，您的 ZTA 评估和策略执行模型应包括 API 接口。
2.“无论网络位置如何，所有通信都是安全的。”	即使 API 仅供私有数据中心或云环境内部使用，您也应该像面向外部一样实施加密、身份验证和授权，以确保数据的机密性和完整性。
3.“对单个企业资源的访问权限是按会话授予的。”	您应该在授予对 API 资源的访问权限之前评估信任。应以尽可能最少的权限授予访问权限。使用行为分析来监控 API 使用情况并持续评估信任。
4.“对资源的访问由动态策略决定——包括客户端身份、应用程序/服务和请求资产的可观察状态——并且可能包括其他行为和环境属性。”	要将 ZTA 应用于 API，您必须能够识别所涉及的实体、推断业务上下文并使用行为分析来识别与正常使用模式的偏差。值得注意的一个行为属性是通过快速 API 调用拒绝服务。 这就是为什么缺乏API 速率限制在(OWASP) API 安全 Top 10中被归类为对敏感业务流的无限制访问。正如NIST指出的那样，“这些规则和属性基于业务流程的需求和可接受的风险水平。”
5.“企业监控和衡量所有拥有和相关资产的完整性和安全状况。”	此要求基于美国网络安全和基础设施安全局 (CISA) 定义的持续诊断和缓解 (CDM) 概念。CDM 包括资产管理、漏洞管理和配置/设置管理等元素。 就像实物资产一样，API 必须不断发现、分类和跟踪。同样，持续的漏洞评估应该超越传统的网络和应用程序安全漏洞，包括可能的基于 API 的漏洞。
6.“所有资源身份验证和授权都是动态的，并且在允许访问之前严格执行。”	这个概念可以而且应该扩展到 API。采用 ZTA 的组织应对 API 使用情况进行持续监控，并使用自动化技术（例如阻止、限制、撤销凭证）在经过身份验证和授权的 API 流量中检测到异常或滥用行为时做出响应。
7.“企业收集尽可能多的有关资产、网络基础设施和通信当前状态的信息，并利用这些信息来改善其安全状况。”	要成为 ZTA 的有效组成部分，您的 API 安全措施必须能够在较长时间内捕获数据 - 理想情况下，应该有足够的时间来检测微妙的 API 滥用。 这种详细程度对于执行行为分析以进行实时风险评估和 ZTA 设计的持续改进是必要的。这包括向威胁搜寻者提供对 API 和威胁数据的按需访问，以用于确定可能的策略改进。还应该使用您的团队使用的开发和操作工具以及工作流程来创建类似的集成点。

在零信任架构下，API不仅仅是数据交换的管道，它们是维护企业安全的关键资源。实施零信任的基本原则要求我们从新的角度审视API安全策略，确保每一个原则都在API管理中得到体现。

首先，将所有数据资源和计算服务视为资源，意味着ZTA中的API也应当包括在内，每个API都应受到和直接用户界面同等级别的安全评估和策略执行。这要求企业对API进行全面的发现和分类，确保API接口的每次访问都经过严格的安全评审。 其次，所有通信都必须安全，不受网络位置限制。对API而言，这意味着无论是内部还是外部API，都应实现加密、身份验证和授权，确保传输数据的机密性和完整性。在动态策略的指导下，API的访问控制应根据请求的上下文动态调整，包括用户身份、应用状态和其他可能的行为及环境属性。这种方法有助于识别和防范诸如快速API调用导致的服务拒绝等异常行为。监控和衡量所有拥有和关联资产的完整性和安全状况对于API来说尤其重要。这包括实时跟踪API的健康状况和安全配置，以及对API进行持续的漏洞评估和缓解。所有资源的身份验证和授权必须动态执行并严格控制。对于API，这意味着认证和授权机制需要能够适应不断变化的安全环境，并在检测到异常或滥用行为时能够及时做出反应。最后，收集关于资产和网络基础设施状态尽可能多的信息对于API安全至关重要。这些信息有助于组织通过行为分析来识别可能的滥用行为，并为ZTA设计的持续改进提供数据支持。

通过上述原则的应用，零信任安全模型强化了API的安全防护，确保了企业资产的安全，同时为未来可能的安全策略改进奠定了基础。在零信任架构下，API安全不再是一项附加任务，而是构建强健安全体系的核心组成部分。