全球 IT 同時加速 API 在各領(lǐng)域的應(yīng)用:物聯(lián)網(wǎng)、開放銀行、微服務(wù)、5G、云原生等技術(shù),到2030年保守預(yù)估 API 全球接口數(shù)量為6億。
API 經(jīng)濟(jì)洶涌來襲應(yīng)用接口爆炸式增長(概述)什么是 API 經(jīng)濟(jì),在經(jīng)濟(jì)學(xué)中的理解 API 等于功能或者業(yè)務(wù)。我們每個人每天的衣食住行都和 API 接口訪問密不可分,比如每天的健康碼查詢、訂餐、購物、天氣都和 API 訪問有著直接關(guān)系,所以 API 經(jīng)濟(jì)是利用互聯(lián)網(wǎng)的 API 技術(shù)與經(jīng)濟(jì)模式組合產(chǎn)生了 API 經(jīng)濟(jì)。全球 IT 同時加速 API 在各領(lǐng)域的應(yīng)用:物聯(lián)網(wǎng)、開放銀行、微服務(wù)、5G、云原生等技術(shù),到2030年保守預(yù)估 API 全球接口數(shù)量為6億。- 微服務(wù)的采用-應(yīng)用 是由幾十個甚至數(shù)千個離散的服務(wù)組成的
- 持續(xù)性軟件開發(fā)-越來越多的團(tuán)隊(duì)正在構(gòu)建更多的 API,并快速發(fā)布和變更
- 混合部署架構(gòu)-復(fù)雜的體系結(jié)構(gòu)導(dǎo)致 API 分布在多個環(huán)境中
惡意 API 攻擊流量激增,應(yīng)用零信任接入需求擴(kuò)大 (論點(diǎn))Salt Security 研究部門 Salt Labs 的一份新報(bào)告發(fā)現(xiàn),Salt Security 客戶遭遇的 API 攻擊流量在過去一年中增長了681%,與此同時整體 API 流量增長了321%。惡意 API 攻擊流量的急劇增加導(dǎo)致生產(chǎn)延遲和對 API 安全策略缺乏信心,最終損害業(yè)務(wù)和創(chuàng)新。《2022年 F5 應(yīng)用策略現(xiàn)狀報(bào)告》通過大量拜訪眾多客戶進(jìn)行調(diào)研分析,得出 API 安全最先應(yīng)該解決的問題是身份驗(yàn)證和授權(quán),身份驗(yàn)證和授權(quán)就會涉及到 Token。如何可以做到 API 接入持續(xù)驗(yàn)證 Token 永不信任,如何解決最關(guān)鍵的病從口入核心問題,所以應(yīng)用零信任接入控制為 API 安全第一道重要防線。API 經(jīng)濟(jì)下無論在應(yīng)用開發(fā)、應(yīng)用發(fā)布、應(yīng)用數(shù)據(jù)共享時都被頻繁使用,近年來 API 攻擊也正成為主要的非法數(shù)據(jù)獲取方法。在幾類 API 攻擊中最常見、危害最大的就是身份認(rèn)證及授權(quán)問題,F(xiàn)5 Labs API 身份驗(yàn)證事件揭示了 API 認(rèn)證和授權(quán)事件的三個常見原因:某全球餐飲零售應(yīng)用未檢查通過 API 請求的用戶 ID 是否與登錄 Token 為同一人,用戶 ID 由從1開始的純數(shù)字構(gòu)成,攻擊者可以枚舉并檢索用戶的個人敏感信息數(shù)據(jù)F5 Labs 報(bào)告中有這樣一個例子:一名研究人員將幾個 API 請求鏈接在一起,在一款移動應(yīng)用上“賺取”了價值數(shù)十萬美元的積分。該應(yīng)用會持續(xù)生成令牌來防止濫用,卻沒有設(shè)置有效期,于是導(dǎo)致它們一遍又一遍地被利用F5 Labs 報(bào)告還描述了一起事件:涉事的操作系統(tǒng)有一個 bug 允許對 API 發(fā)出惡意 HTTP 請求,讓攻擊者輕輕松松就能拿到授權(quán)令牌。一旦攻擊者獲得了此授權(quán)令牌,他們就擁有了管理員權(quán)限。快速開始部署 F5 應(yīng)用零信任接入解決方案 (論證)API 應(yīng)用接入需要最少的特權(quán)訪問,F(xiàn)5 API 接入零信任安全方案,可以更好的結(jié)合客戶API 網(wǎng)關(guān)和 F5 接入控制管理組件相結(jié)合,實(shí)現(xiàn)對訪問控制權(quán)限顆粒度精細(xì)化的策略,才能是真正 API 安全零信任解決方案。
立即登錄,閱讀全文