《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 云原生API安全治理標準解讀 落地實踐需與業(yè)務相結合

云原生API安全治理標準解讀 落地實踐需與業(yè)務相結合

2022-11-19
來源:安全419
關鍵詞: 云原生

  云原生概念從2013年就已經(jīng)提出了,,最近幾年該技術發(fā)展迅猛,標準到實踐相對更加成熟,。對企業(yè)來說云原生是一種既能夠省成本,,又能夠提升效率,還能增強穩(wěn)定性的一種架構,,同時云原生還能夠很好跟人工智能和大數(shù)據(jù)等上層技術,、新應用相結合。但云原生技術帶來其獨到的優(yōu)勢之余,,其本身架構的變革也引入了新的安全風險,。

  11月16日下午,由中國信息通信研究院主辦,,云原生安全實驗室承辦的“原”動力第8期—云原生 API 安全治理沙龍于線上成功舉辦,。本次沙龍邀請到多位行業(yè)專家與業(yè)界頂尖廠商,共同探討云原生 API 安全治理的防護思路,、研究成果和發(fā)展趨勢,。

  中國信通院云大所云計算部高級業(yè)務主管杜嵐在沙龍活動中分享指出,根據(jù)信通院持續(xù)調(diào)研顯示,,安全性已經(jīng)連續(xù)兩年成為企業(yè)用戶云原生化的最大顧慮,,而在企業(yè)內(nèi)部,云原生安全領域的能力建設剛剛起步,,20%的用戶云原生環(huán)境沒有任何安全防護,。“云原生的安全建設是原生化轉型的必備項能力,,目前,,企業(yè)一側更多是具備一些容器安全或者應用安全的單點防護能力?!?/p>

  據(jù)介紹,,信通院云大所在云原生安全領域做了很多相關工作,在政策支撐和產(chǎn)業(yè)研究方面,其全面支撐了國家部委的相關政策文件的制定,,如《企業(yè)上云用云實施指南(2022)》,,在云原生安全產(chǎn)業(yè)研究方面,包括19年發(fā)布的《云原生技術實踐白皮書》,,20年發(fā)布的《云原生產(chǎn)業(yè)發(fā)展白皮書》,,21年發(fā)布的《云原生架構安全白皮書》和《中國云原生用戶調(diào)查報告》。在今年,,機構推進了《云原生安全趨勢洞察》和《中國云原生安全用戶調(diào)查報告》,。

  在平臺搭建和生態(tài)建設方面,信通院在2020年成立了云原生安全工作組,,在今年6月份,,機構聯(lián)合清華大學和騰訊云發(fā)起成立了云原生安全實驗室,實驗室匯聚了眾多行業(yè)頂尖專家學者,,實驗室成員單位已近40家,,共同開展云原生安全標準制定,技術合作,、平臺工具建設,、產(chǎn)業(yè)研究,行業(yè)交流等等工作,。

  在標準和評估體系建設方面,,信通院從19年開始牽頭制定了包括國內(nèi)首個容器安全的標準制定,至今已經(jīng)建立了相對完善的云原生安全標準評估體系,,包括《云原生能力成熟度 第3部分:架構安全》,、《基于容器的平臺安全能力要求》、《云原生安全能力要求 第1部分:API 安全治理》,、《云原生應用保護平臺(CNAPP)能力要求》,,以及推進當中的《云原生托管服務(MSS)能力要求》等云原生安全標準。

  《云原生安全能力要求 第1部:API 安全治理》

  標準解讀

  對應沙龍活動內(nèi)容,,杜嵐重點分享了《云原生安全能力要求 第1部:API 安全治理》標準制定的相關情況,,這項標準在2021年12月9日中國信息通信標準化協(xié)會(CCSA)TC1 WG5的第19次工作組會議上成功立項,目前經(jīng)過五輪研討已形成標準征求意見稿,。

  另據(jù)了解,,參與該標準編制的企業(yè)包括阿里云、騰訊云,、華為云,、瑞數(shù)信息、星闌科技,、中移信息,、用友網(wǎng)絡、新華三、小佑科技,、青藤云、天融信,、懸鏡安全,、百度、中移云能,、安易科技等(排名不分先后),。

  杜嵐指出,云原生化之后,,從基礎架構層,、到微服務業(yè)務層都會有很多標準或非標準的 API,即充當外部與應用的訪問入口,,也充當應用內(nèi)部服務間的訪問入口,。這項標準的制定背景即對應了云原生化的 API 數(shù)量的急劇增加、調(diào)用頻繁復雜,、攻擊面擴大等風險,。標準將適用于指導用云企業(yè)構建 API 安全治理能力,適用于規(guī)范相關云平臺,、安全產(chǎn)品及解決方案的能力水平與服務質(zhì)量,。

  《云原生安全能力要求 第1部:API 安全治理》劃分了六大標準框架,分為 API 資產(chǎn)管理,、API 風險評估,、API 權限控制、API 安全監(jiān)測,、API 安全響應以及審計與溯源,。

  01 API 資產(chǎn)管理:API 資產(chǎn)可視可管是云應用 API 安全治理的基礎。API 資產(chǎn)管理能力設計應能夠自動化覆蓋存量及增量業(yè)務的 API,,同時能夠從不同視角對資產(chǎn)進行管理,。

  其中 API 資產(chǎn)管理能力分為三個子項能力,分別是 API 資產(chǎn)發(fā)現(xiàn),、敏感數(shù)據(jù)識別,、統(tǒng)一管理。三大章節(jié)所要解決的問題核心是 API 資產(chǎn)的多源發(fā)現(xiàn)和統(tǒng)一可視化管理,,并且強調(diào)了應以數(shù)據(jù)角度對 API 進行分類管理,,避免潛在的數(shù)據(jù)泄露事件發(fā)生。

  02 API 風險評估:應根據(jù)API攻擊面及業(yè)務需要建立不同維度的 API 威脅識別,、風險評估能力,,在 API 資產(chǎn)被攻擊之前主動進行安全檢測,收斂攻擊面、降低 API 整體防護成本,。包含風險的檢測,、評估以及修復(建議)等。

  API 風險評估同樣分為三個子項能力,,分別是脆弱性評估,、業(yè)務邏輯漏洞檢測、應用漏洞檢測,,對應了 API 設計或配置不當?shù)仍虍a(chǎn)生的安全風險,、API 因業(yè)務邏輯設計不當產(chǎn)生的安全風險、及中間件 API 漏洞,、Web API 漏洞,、業(yè)務 API 代碼漏洞等風險。

  03 API 權限控制:面向云原生平臺及應用 API 訪問的認證,、鑒權和安全控制,。

  權限管理、訪問控制,、安全通信是 API 權限控制的三個子項能力,,權限管理對應 API 細粒度的訪問權限設置,包括資源操作的權限,,面向用戶的權限和面向服務的權限,,以及對權限全生命周期的管理和一些權限策略的建議生成。訪問控制對應通過多種認證和鑒權的方式,,去防止 API 資源不被惡意篡改和濫用,。安全通信強調(diào) API 通信數(shù)據(jù)的機密性和完整性,如利用通信加密方式,。

  04 API 安全監(jiān)測:對 API 交互過程中的運行狀態(tài),、交互行為和數(shù)據(jù)流進行監(jiān)測,發(fā)現(xiàn) API 安全攻擊和異常行為,。

  API運行狀態(tài)監(jiān)測,、安全攻擊檢測、數(shù)據(jù)流轉監(jiān)測,、異常行為識別是 API 安全監(jiān)測的四個子項能力,,API 運行狀態(tài)監(jiān)測包括 API 響應時長、訪問狀態(tài),、異常流量和接口訪問合規(guī)性等,。安全攻擊檢測能力要求對 API 請示流量進行識別,檢測流量中的惡意代碼,,識別針對 API 接口的安全攻擊行為,。數(shù)據(jù)流轉監(jiān)測能力需要對 API 流量交互中的數(shù)據(jù)流轉進行監(jiān)測,,從而識別數(shù)據(jù)流轉中的敏感信息。異常行為識別方面要求對 API 接口的訪問行為進行分析,、識別,,利用行為模型學習構建檢測異常。

  05 API 安全響應&審計與溯源:發(fā)現(xiàn)攻擊和異常后的響應能力,,以及事后的審計溯源能力,。

  在 API 安全響應方面,標準要求建立精細的響應策略和豐富的響應手段,,同時強調(diào)對敏感數(shù)據(jù)的阻斷脫敏、分級分類管制,、以及與第三方數(shù)據(jù)安全產(chǎn)品之間的開放性與可擴展性,。溯源審計和溯源方面,標準要求首先要面向 API 日志的采集與審計分析,,同時還有安全事件的工具溯源分析,。由于 API 獨立的攻擊溯源能力是有限的,所以標準更多強調(diào)的是和其他威脅情報或安全產(chǎn)品的關聯(lián)分析和聯(lián)合態(tài)勢處置等,。

  據(jù)悉,,信通院后續(xù)會持續(xù)完善云原生安全標準評估體系。

  云原生環(huán)境 API 安全治理實踐分享

  應深入業(yè)務不斷進行優(yōu)化策略調(diào)整

  瑞數(shù)信息技術總監(jiān)吳劍剛在沙龍活動分享《云原生環(huán)境 API 安全治理實踐》時指出,,隨著數(shù)據(jù)中臺,、微?,?服務,、云原生等技術的深入應用,大量 API 被廣泛應用在數(shù)字生活的每個領域,,伴隨著業(yè)務接入渠道的豐富,,API 的安全問題必須受到企業(yè)重視。

  吳劍剛分享列舉了一系列國內(nèi)的因為 API 管控不當導致的數(shù)據(jù)泄露事件,,并強調(diào) API 所帶來的安全隱患是需要全行業(yè)共同面對的多維度的安全風險,,以衛(wèi)生和健康行業(yè)為例,因為疫情的原因 ??API 的訪問量就增漲了900%,。

  總結云原生環(huán)境下 API 安全面臨的挑戰(zhàn)時吳劍剛表示,,云原生架構的特點是資產(chǎn)增長快,且訪問不經(jīng)過邊界設備,,這帶來了防護方式的不同,。為應對云原生環(huán)境下 API 安全治理挑戰(zhàn),瑞數(shù)信息構建了一整套深入云原生環(huán)境下的全新防護思路,,從感知,、發(fā)現(xiàn),、監(jiān)測到保護的閉環(huán)能力為用戶構建為云原生 API 安全能力。

  在活動現(xiàn)場,,吳劍剛分享了瑞數(shù)信息云原生環(huán)境下 API 安全解決方案的諸多技術細節(jié)點,,包括云原生環(huán)境流量采集的具體實踐、云原生環(huán)境 API 監(jiān)測和管控于一體的防護架構的實現(xiàn)方式等,,并對一些關鍵點如 API 接口資產(chǎn)管理,、API 風險檢測、敏感數(shù)據(jù)管控,、敏感數(shù)據(jù)映射,、API 訪問行為管控等具體技術細節(jié)進行了介紹。

  在客戶實踐方面,,某客戶在云原生化改造之后上線了瑞數(shù) API 安全管控平臺,,平臺部署上線共實現(xiàn)了自動發(fā)現(xiàn)和確認 API 資產(chǎn),并實現(xiàn)了基于業(yè)務的分組安全治理,。在平臺運行過程中,,平臺可以及時了解當前 API 在合規(guī)要求、應用安全等多方面存在的缺陷,,明文傳輸敏感數(shù)據(jù)等等,,以及針對 API 接口的攻擊等多維度 API 安全治理,便于后續(xù)有針對性的完善 API 安全機制和實時防護,。

  吳劍剛總結指出,,資產(chǎn)梳理是云原生 API 安全治理的基礎工作,在安全監(jiān)測識別方面,,缺陷的風險識別和攻擊識別缺一不可,,基于云原生構架的獨特性,更建議采用多維度,、多技術提供更強的安全包容性,,更加重要的是 API 安全要結合業(yè)務不斷進行優(yōu)化策略調(diào)整,這樣才能夠真正讓用戶用起來,。

  以一線安全廠商角度觀察時吳劍剛指出,,現(xiàn)階段針對 API 的攻擊76%的攻擊都是以爬蟲攻擊為主,針對金融服務的撞庫攻擊75%以 API 為目標,,80%的數(shù)據(jù)泄露全是于來自于外部的數(shù)據(jù)泄露,。所以 API 安全治理的核心主要解決的實際上就是 API 安全合規(guī)問題和 API 安全風險問題。

  中國信通院云大所云計算部主任馬飛于沙龍活動中發(fā)表致辭,,除瑞數(shù)信息之外,,來自騰訊安全、綠盟科技,、星闌科技的安全專家均分享了云原生 API 安全思考與實踐,。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者,。如涉及作品內(nèi)容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]