API十大安全威脅解析及API網關的安全防護。
譯自Mitigate OWASP Security Top Threats with an API Gateway,作者 David Sudia 是 Ambassador Labs 的高級開發者倡導者,該公司是 Emissary-Ingress 和 Telepresence 的創建者。他之前是 DevOps/平臺工程師和 CNCF 最終用戶。Dave 熱衷于通過確保開發者做出最好的工作來支持其他開發者......
OWASP 每四年會發布一次OWASP Top 10,其中描述了最關鍵的安全風險。這個列表是組織了解和緩解常見 Web 漏洞的起點。
自 2019 年以來,該組織還制定了一個針對 API 安全威脅的前 10 名,以提高人們對 API 安全的認識,并提供解決最緊迫威脅的指導。這些映射了一般安全威脅到 API 面臨的具體問題。
隨著越來越多的應用程序和平臺提供 API 以方便集成、開發和自動化,與這些 API 關聯的安全問題也在相應地上升。API 常常扮演應用程序數據、業務邏輯和敏感功能的網關,這使得它們成為攻擊者的誘人目標。如果未得到適當安全保護,它們可能被利用來泄露敏感信息、繞過安全控制或者甚至操縱基礎系統。
OWASP API 安全項目在 7 月發布了新的前10 大 API 安全威脅。讓我們回顧這個列表的要點,以及 API 網關工具如何幫助減少這些漏洞。
損壞的授權已經成為應用程序正在承受的最大 API 安全威脅。2023 年名單中前 10 大 API 安全威脅中有 3 個與授權相關:
盡管隨著服務提供商的認證服務向開發者開放,損壞的認證仍然是 API 安全威脅名單上的第 2 名。認證是驗證試圖訪問您的 API 的用戶或系統的身份。由于這些是您服務的“前門”,它們是攻擊者的首要目標。
錯誤發生在開發人員嘗試構建自己的認證系統時。對認證限制及其復雜實現的誤解使漏洞很常見。攻擊者可以劫持用戶賬戶、訪問個人數據并在真實用戶無法區分的情況下執行敏感操作。
為了解決這個威脅,您會想要通過 API 網關為應用程序提供可靠的認證。使用使用 JSON Web 令牌(JWT)、OAuth 和其他基于令牌的認證系統等認證機制的網關,以確保安全的用戶體驗。這些基于令牌的方法提供了一種可擴展和安全的方法來確認用戶身份,而不需要不斷交換敏感憑據。
無論您選擇哪個 API 網關,請確保它可以根據經過身份驗證的用戶執行速率限制。這是一個關鍵功能,因為它可以通過限制用戶可以提出的請求的頻率來防止潛在的濫用。例如,通過將速率限制與特定的經過身份驗證的配置文件相關聯,Edge Stack 等選項可以確保系統資源不會過載,并抑制惡意嘗試淹沒系統的行為。這種特定于用戶的速率限制對于具有不同用戶角色的應用程序特別關鍵,它確保特權用戶獲得優先訪問的同時保持系統的完整性和性能。
不受限制的 API 訪問和增加暴露的 API(無適當控制)可能導致各種安全問題。
前 10 大 API 安全威脅中有 2 個與不受限制的訪問相關:
找到一個提供速率限制的工具,這是防止惡意或意外濫用系統資源的關鍵措施。通過這個,您可以確保系統服務不會被大量請求壓垮。
根據特定端點或提出請求的用戶類型,可以應用不同的速率限制,允許定制訪問控制。這種細粒度的方法可以確保關鍵端點或特權用戶獲得優先訪問,同時維持系統完整性和最佳的用戶體驗。
下面是一個例子,說明您的 API 網關工具可能如何應對 DDoS 攻擊。當這種情況發生時,API 網關可以通過兩種機制主動應對這些攻擊:
數據驗證和清理在維持所處理信息的真實性和安全性方面發揮關鍵作用。
來自服務器端請求偽造(SSRF)的 API 威脅是巨大的。這發生在 API 獲取外部資源時沒有驗證用戶提供的 URL。這使攻擊者可以強制應用程序向意外目標發送定制請求,繞過防火墻或 VPN。OWASP 清楚地指出:
“更危險——現代技術如云提供商、Kubernetes 和 Docker 通過 HTTP 在可預測的、眾所周知的路徑上暴露管理和控制渠道。這些渠道很容易成為 SSRF 攻擊的目標。”
完全消除 SSRF 風險具有挑戰性。選擇保護措施需要在業務風險與運營需求之間取得平衡。選擇一個提供強大功能的網關,可以有效驗證輸入和輸出數據,并識別和阻止惡意內容。
在網絡威脅橫行的時代,在系統被入侵之前過濾掉潛在有害數據的機制無價之寶。這種主動方法可以保護應用程序并確保更安全的用戶體驗。
依賴第三方軟件或服務可能會引入未知的漏洞。在不安全使用 API 時,開發人員不會驗證他們正在將哪些端點集成到他們的應用程序中。這些第三方 API 可能缺乏保護我們上述威脅的安全配置,例如 TLS、認證和驗證。
將 API 網關日志和數據集成到例行安全評估中可以提供對系統當前狀態和潛在弱點的整體視圖。這些日志提供了關于流量模式、用戶交互和潛在紅旗的寶貴見解。
與此同時,應規定對 API 及其關聯環境進行定期漏洞評估。這些評估深入研究基礎架構,識別潛在風險和未打補丁的漏洞,并確保系統能夠抵御不斷發展的威脅。定期審核和漏洞評估可以建立一個強大的防線,不斷加強和更新系統的安全態勢。
錯誤配置的系統通常會被忽視,可能會無意中暴露敏感數據或功能。攻擊者偵察暴露的端點、缺乏安全補丁、缺乏標準(如 TLS 和 CORS)以及不安全的錯誤消息。正確的配置很重要,您的 API 網關工具應該承擔這一責任:
鑒于 API 的關鍵角色,API 安全在現代軟件生態系統中至關重要。雖然 API 為集成和擴展打開了廣闊的可能性,但它們也引入了一組必須精心解決的新安全挑戰。只要您整合了某種類型的 API 網關,就不會出錯,但這里有一些具體要考慮的事項:
無論您選擇哪種工具,請確保您獲得的 API 網關工具都會細致地解決這些問題。認識到 API 所伴隨的漏洞,并采用像 API 網關這樣的工具來抵制潛在的威脅和加強防御變得至關重要。
通過優先考慮 API 安全,組織可以保護其數字資產并在用戶基礎中培育信任,確保可持續增長和技術創新。有關哪種 API 網關工具最適合您的團隊的更多信息,請下載Ambassador Labs 的 API 購買指南。
本文鏈接:http://www.www897cc.com/showinfo-26-56604-0.html通過API網關緩解OWASP十大安全威脅
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com