一、API數(shù)據(jù)安全現(xiàn)狀
近年來伴隨著通信技術(shù)高速發(fā)展,人們對(duì)應(yīng)用程序的依賴逐漸增強(qiáng)博烂。應(yīng)用無論在經(jīng)濟(jì)活動(dòng)或民生需求層面都成為了不可或缺的重要工具香椎,金融、教育禽篱、交通畜伐、醫(yī)療等各領(lǐng)域內(nèi)應(yīng)用互聯(lián)互通現(xiàn)象頻繁出現(xiàn),“單點(diǎn)式應(yīng)用”已經(jīng)難以服務(wù)數(shù)據(jù)時(shí)代的龐大數(shù)據(jù)量躺率。
在各類內(nèi)部玛界、外部應(yīng)用數(shù)量呈現(xiàn)指數(shù)型增長的情況下,應(yīng)用數(shù)據(jù)已經(jīng)作為生產(chǎn)要素逐步轉(zhuǎn)變?yōu)槠髽I(yè)發(fā)展乃至國家發(fā)展的重要戰(zhàn)略資產(chǎn)悼吱。尤其在云原生時(shí)代慎框,應(yīng)用的顆粒度被更加細(xì)化,大多數(shù)應(yīng)用以微服務(wù)的形態(tài)出現(xiàn)后添,服務(wù)之間的協(xié)同交互訪問頻率更高笨枯、關(guān)系更加復(fù)雜。同時(shí)成倍的數(shù)據(jù)訪問帶來的風(fēng)險(xiǎn)也是呈指數(shù)型增長的遇西,傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品單靠固化的訪問控制邏輯顯得捉襟見肘馅精。
二、API安全重要性
API 無論在應(yīng)用開發(fā)粱檀、應(yīng)用發(fā)布洲敢、應(yīng)用數(shù)據(jù)共享時(shí)都被頻繁使用,故而近年來API攻擊也正成為主要的非法數(shù)據(jù)獲取手段茄蚯。應(yīng)用API可能存在身份驗(yàn)證和授權(quán)損壞压彭、缺乏速率限制和代碼注入等漏洞,而在幾類攻擊中最常見渗常、危害最大的就是身份認(rèn)證及授權(quán)問題壮不。攻擊者通過破壞身份驗(yàn)證令牌或利用實(shí)現(xiàn)中的缺陷以一次性或永久地冒充另一個(gè)用戶,此后接受用戶輸入并使用它來訪問數(shù)據(jù)源的函數(shù)都產(chǎn)生級(jí)別訪問控制問題凳谦,擴(kuò)大攻擊面,造成數(shù)據(jù)泄露衡未、篡改等安全事故尸执。
三、零信任API數(shù)據(jù)安全管控整體介紹
傳統(tǒng)的 IT 網(wǎng)絡(luò)架構(gòu)中缓醋,安全建設(shè)的重心往往聚焦于內(nèi)外網(wǎng)隔離如失、邊界部署防護(hù)等等邊界類安全產(chǎn)品上,從而導(dǎo)致整體安全防御能力重邊界送粱、輕縱深褪贵,面對(duì)攻擊者的橫向擴(kuò)展束手無策。尤其在政府行業(yè)中,各個(gè)局委辦把數(shù)據(jù)統(tǒng)一交到政務(wù)大數(shù)據(jù)中心進(jìn)行數(shù)據(jù)共享脆丁,這其中涉及到大量API調(diào)用及數(shù)據(jù)交換動(dòng)作世舰。為了能更好地實(shí)現(xiàn)政務(wù)數(shù)據(jù)的資源共享,讓老百姓體驗(yàn)“一網(wǎng)通辦”的同時(shí)可以保障整體數(shù)據(jù)安全槽卫,零信任概念拋棄傳統(tǒng)網(wǎng)絡(luò)安全的“內(nèi)網(wǎng)可信”前提跟压,在調(diào)用資源的動(dòng)作前,授權(quán)中心認(rèn)為所有的用戶身份都為不可信狀態(tài)歼培,需要逐一進(jìn)行鑒權(quán)震蒋、認(rèn)證。零信任安全模型跟傳統(tǒng)的網(wǎng)絡(luò)接入控制模型不同躲庄,通過網(wǎng)絡(luò)隱身技術(shù)實(shí)現(xiàn)先認(rèn)證后連接查剖,端口不暴露在外部環(huán)境中,從而達(dá)到了服務(wù)隱身的效果噪窘,最大程度保障服務(wù)資源的安全性笋庄。同時(shí)基于零信任的API數(shù)據(jù)安全管控采用流量代理網(wǎng)關(guān)的模式,通過全流量代理網(wǎng)關(guān)作為統(tǒng)一入口效览,對(duì)特定的應(yīng)用由應(yīng)用代理模塊進(jìn)行控制无切,處理各種 C/S 和 B/S 的應(yīng)用。
簡而言之丐枉,零信任打破了信任和網(wǎng)絡(luò)位置的固定關(guān)系哆键,通過動(dòng)態(tài)持續(xù)監(jiān)測(cè)各參與對(duì)象的安全狀態(tài),對(duì)其重建信任評(píng)估瘦锹,然后進(jìn)行動(dòng)態(tài)調(diào)整權(quán)限籍嘹、降權(quán)、阻斷等強(qiáng)管控手段弯院。
四辱士、亮點(diǎn)功能詳解
1、服務(wù)隱身
2013年听绳,國際云安全聯(lián)盟提出軟件定義邊界(Software-Defined-Perimeter颂碘,即SDP)安全模型作為零信任的最佳實(shí)踐,原理基于身份和上下文的邏輯訪問邊界椅挣,SDP從架構(gòu)設(shè)計(jì)上就只允許可信任的業(yè)務(wù)報(bào)文通過头岔,同時(shí)丟棄不合法報(bào)文。其中“服務(wù)隱身”作為最核心的關(guān)鍵技術(shù)之一主要目的是克服互聯(lián)網(wǎng)協(xié)議在數(shù)據(jù)傳說過程中的開放性鼠证,而在客戶端鏈接控制器和網(wǎng)關(guān)之前峡竣,都需要進(jìn)行一次SPA(Single Packet Authorization)單包認(rèn)證,通過后才能成功連接上控制器和網(wǎng)關(guān)量九,在認(rèn)證成功之前适掰,控制器和網(wǎng)關(guān)對(duì)于客戶端是不可見也不可使用的颂碧,從而達(dá)到了服務(wù)隱身的效果。
?由此类浪,SPA可以看做通信層的訪問保護(hù)载城,主要在網(wǎng)絡(luò)通信層保護(hù)防火墻之后的后端服務(wù)。SPA首包認(rèn)證作為網(wǎng)絡(luò)通信的授權(quán)認(rèn)證手段戚宦,可以有效地防范未信任數(shù)據(jù)包的風(fēng)險(xiǎn)个曙。而想要達(dá)到“服務(wù)隱身”的效果同時(shí)也需要資源側(cè)提供相對(duì)應(yīng)的支持,例如隱身服務(wù)無監(jiān)聽端口受楼、具備高性能處理?xiàng)l件垦搬、多因子認(rèn)證策略、異常SPA報(bào)文初步校驗(yàn)等等艳汽。
2猴贰、流量代理網(wǎng)關(guān)
網(wǎng)關(guān)作為零信任體系中的基礎(chǔ)組件承擔(dān)著數(shù)據(jù)獲取責(zé)任,使用四層流量代理方式河狐,終端在有 Agent 的情況下米绕,可通過網(wǎng)絡(luò)過濾驅(qū)動(dòng)將本地流量轉(zhuǎn)發(fā)給零信任網(wǎng)關(guān)。在基于零信任的API數(shù)據(jù)安全監(jiān)控體系中馋艺,以流量代理作為主要數(shù)據(jù)獲取來源栅干。透明代理的方式既避免了大量接入客戶端修改配置目標(biāo)地址也便于后續(xù)進(jìn)行流量收集、解析捐祠。
訪問流量經(jīng)過零信任的數(shù)據(jù)流首先到達(dá)流量代理網(wǎng)關(guān)碱鳞,網(wǎng)關(guān)會(huì)向訪問控制中心獲取該用戶的相關(guān)信息及授權(quán),一旦身份驗(yàn)證失敗則會(huì)要求用戶訪問控制中心進(jìn)行再次身份認(rèn)證踱蛀,認(rèn)證若通過則是由控制中心下發(fā)用戶身份驗(yàn)證信息給代理網(wǎng)關(guān)窿给,之后代理網(wǎng)關(guān)代替訪問主體去訪問業(yè)務(wù)系統(tǒng)。四層流量代理可以實(shí)現(xiàn)B/S 與 C/S 應(yīng)用全局代理率拒,因此可以實(shí)現(xiàn)更精準(zhǔn)的數(shù)據(jù)分析崩泡,提高安全檢測(cè)能力。此外該模式下猬膨,C/S應(yīng)用不需要改造角撞,可以直接接入零信任體系中,減少了對(duì)業(yè)務(wù)的入侵性勃痴。
3谒所、細(xì)粒度授權(quán)、鑒權(quán)
細(xì)粒度鑒權(quán)主要針對(duì)核心應(yīng)用召耘,例如交易系統(tǒng)百炬、對(duì)賬系統(tǒng)等等褐隆,這類應(yīng)用往往具有高頻次訪問污它、敏感數(shù)據(jù)多、數(shù)據(jù)價(jià)值高等特點(diǎn)。因此在零信任API數(shù)據(jù)安全監(jiān)控體系中會(huì)包含單獨(dú)的訪問控制服務(wù)器衫贬,該服務(wù)器為管理員提供細(xì)粒度授權(quán)管理德澈,包括數(shù)據(jù)脫敏配置、訪問頻次配置固惯、返回?cái)?shù)據(jù)量配置等安全策略梆造。管理員可針對(duì)人員、應(yīng)用等不同角色身份進(jìn)行靈活配置葬毫,高度適配企業(yè)內(nèi)部場景镇辉。
?流量經(jīng)由網(wǎng)關(guān)交由訪問控制服務(wù)器時(shí)會(huì)對(duì)當(dāng)前訪問者身份進(jìn)行鑒權(quán),只有符合資源權(quán)限方可放行贴捡,轉(zhuǎn)發(fā)至最終資源服務(wù)器忽肛,妥善解決了不同應(yīng)用、不同訪問者API調(diào)用及數(shù)據(jù)獲取權(quán)限的動(dòng)態(tài)場景烂斋。同時(shí)基于機(jī)器學(xué)習(xí)以及對(duì)象安全狀態(tài)進(jìn)行動(dòng)態(tài)升降權(quán)調(diào)整也是零信任體系中的核心概念屹逛,例如某應(yīng)用雖然以合法方式登錄獲取令牌,但登錄IP為境外IP汛骂、登錄時(shí)間為凌晨2點(diǎn)罕模,則訪問控制服務(wù)器會(huì)認(rèn)為該行為存在風(fēng)險(xiǎn),自動(dòng)進(jìn)行權(quán)限降級(jí)處理帘瞭,僅支持獲取100條用戶數(shù)據(jù)淑掌,超量則觸發(fā)告警,有效避免用戶登錄令牌丟失图张、竊用造成的企業(yè)數(shù)據(jù)損失锋拖。
4、異常行為分析
常見的零信任網(wǎng)關(guān)通常將能力聚焦于請(qǐng)求處理祸轮、分發(fā)兽埃、鑒權(quán),而忽視了網(wǎng)關(guān)的數(shù)據(jù)基礎(chǔ)帶來的分析價(jià)值适袜,零信任API數(shù)據(jù)安全監(jiān)控體系將請(qǐng)求來源數(shù)據(jù)作為核心基礎(chǔ)數(shù)據(jù)柄错,在捕獲異常請(qǐng)求的第一時(shí)間將會(huì)觸發(fā)阻斷及告警機(jī)制,同時(shí)采用可擴(kuò)展性和洞察力更高的UEBA框架進(jìn)行安全分析苦酱,基于機(jī)器學(xué)習(xí)方法將用戶行為與用戶實(shí)體進(jìn)行關(guān)聯(lián)分析得出隱藏風(fēng)險(xiǎn)和內(nèi)部威脅的行為并產(chǎn)出周度售貌、月度、季度行為分析報(bào)告疫萤,如越權(quán)訪問颂跨、高頻次訪問、敏感數(shù)據(jù)透出扯饶、改進(jìn)建議等報(bào)告項(xiàng)恒削,協(xié)助用戶及早發(fā)現(xiàn)問題池颈、定位問題,將安全風(fēng)險(xiǎn)扼殺在搖籃中钓丰。
五躯砰、總結(jié)
工信部2019年起草的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》提出,要積極探索可信計(jì)算携丁、零信任等網(wǎng)絡(luò)安全的新理念琢歇、新架構(gòu),促進(jìn)網(wǎng)絡(luò)安全理念和技術(shù)的創(chuàng)新梦鉴。零信任作為一種全新安全架構(gòu)李茫,秉承“永不信任,始終驗(yàn)證肥橙∮渴福”的核心技術(shù)理念并貫穿業(yè)務(wù)的全過程,涉及數(shù)據(jù)使用的全生命周期快骗。通過實(shí)施最少特權(quán)訪問娜庇,組織可以最大程度地減少攻擊面,提高審計(jì)和合規(guī)性可見性方篮,無論內(nèi)網(wǎng)還是外網(wǎng)的場景名秀,零信任架構(gòu)都能夠很好地解決企業(yè)的數(shù)據(jù)安全問題。以零信任為基礎(chǔ)的安全架構(gòu)藕溅,融合成熟的傳統(tǒng)安全能力匕得,在避免重復(fù)建設(shè)的同時(shí),能夠?yàn)槠髽I(yè)提供全方位的數(shù)據(jù)安全能力巾表,將現(xiàn)有的安全產(chǎn)品更加立體地結(jié)合汁掠,形成有效聯(lián)動(dòng),通過動(dòng)態(tài)降權(quán)集币、阻斷等方式提升數(shù)據(jù)安全管控功能考阱,實(shí)現(xiàn)API的全流程安全管控。
鵬信科技零信任API數(shù)據(jù)安全管控方案通過引入持續(xù)認(rèn)證鞠苟、服務(wù)隱身乞榨、動(dòng)態(tài)調(diào)權(quán)等零信任技術(shù),可有效解決傳統(tǒng)邊界模型對(duì)內(nèi)網(wǎng)過度信任的問題当娱〕约龋基于流量代理則減少了企業(yè)業(yè)務(wù)的非法暴露面,推動(dòng)業(yè)務(wù)精細(xì)化準(zhǔn)入跨细,API細(xì)粒度業(yè)務(wù)調(diào)用鹦倚,同時(shí)結(jié)合UEBA等異常行為監(jiān)測(cè)技術(shù)實(shí)時(shí)發(fā)現(xiàn)違規(guī)行為并及時(shí)阻斷,為API數(shù)據(jù)安全管控提供了全新冀惭、高效的解決方案震叙。
來源:【鵬信科技】微信公眾號(hào)
