云原生世界中的 API 安全

API（应用程序编程接口）已经存在了几十年。它们是系统和应用程序之间交换信息的默认媒介。随着最近云原生应用程序（使用依赖 API 的互连服务进行架构和构建）的出现，API 已经变得无处不在 – 成为我们在线世界的道路和高速公路，并且是我们现在依赖的许多服务不可或缺的一部分。

攻击者为何瞄准 API

开发人员采用 API 优先的方法来构建应用程序、工具和流程。但是，当开发人员为应用程序构建、管理、发布和利用 API 时，安全团队在了解如何保护 API 免受其独特配置和使用所固有的风险方面往往落后了十步。

黑客们意识到了这种延迟。缺乏安全控制，再加上 API 使用量和流量的增加，使得 API 成为恶意攻击者的主要目标，他们寻找漏洞和 API 错误配置来访问应用程序内的宝贵数据和资源。

例如，最近 Optus 发生的一起泄露 1000 万个客户账户的事件就涉及一个面向互联网的 API，该 API 无需授权或身份验证即可访问客户数据，就是这么简单。

就这么简单？

了解您的云工作负载中包含哪些 API 非常复杂，尤其是考虑到基于云的应用程序开发速度。开发团队通常发现跟踪新的和更改的 API 几乎是不可能的。此外，应用程序的复杂性会导致配置错误，以及产生漏洞的不受管理且不安全的 API。事实上，Gartner 预测，到 2025 年，只有不到 50% 的企业 API 得到管理。

许多 API 网关和监控解决方案无法识别风险或防范针对 API 的OWASP Top 10攻击。添加另一个工具来解决 API 安全问题只会增加安全和开发团队的成本和复杂性。

Prisma Cloud 的 API 安全方法

Prisma Cloud 作为其全面的云原生应用程序保护平台 (CNAPP) 的一部分，为所有 API 提供完整的 API 发现、风险分析和实时保护。

API 安全功能：

• API 发现：自动发现您环境中的所有 API，并消除由影子 API 或恶意 API 造成的盲点。
• API 风险分析：识别 API 风险、风险因素（基于风险因素，例如配置错误、敏感数据暴露和访问控制），并确定补救措施的优先级。
• 实时保护：针对 OWASP Top 10 API、速率限制和恶意机器人的攻击实施实时保护。

整体大于部分之和这一说法也适用于平台产品。点解决方案作为不相连的部分，通常会带来更多工作，并导致与可见性有限相关的问题。

通过将 API 安全性融入 Prisma Cloud 的 Code-to-Cloud CNAPP，我们能够使用更少的工具提供更好的安全性。组织可以通过单一解决方案获得 API、应用程序、工作负载和基础设施的全面安全性。

API 发现

无法保护无法找到的东西。缺乏 API 文档会给不了解 API 使用原因的安全团队带来障碍。有关正在运行的 API 的信息对于保护它们免受滥用至关重要。在绘制此图时，重要的是找到所有 API 通信并收集尽可能多的有关影子 API 和恶意 API 的信息。

API 发现是保护 API 的第一步。Prisma Cloud 为所有 API 提供自动化 API 发现功能，包括南北 API（互联网到微服务）和东西 API（微服务到微服务）。用户能够将数据导出为 OpenAPI 规范，可将其用作 API 保护的基准。

API 观察和安全团队

每个 API 端点都会对应用程序及其数据造成不同的风险。各种因素都会影响总体风险，每个因素都有各自的权重，例如敏感数据暴露、缺少授权和访问控制。安全团队需要了解与 API 和底层工作负载相关的所有风险因素，以确定风险的优先级并采取主动措施。

Prisma Cloud 可帮助团队识别 API 风险、风险因素并确定补救措施的优先级。通过在开发和构建期间扫描 API 定义文件，开发人员可以在 API 投入生产之前防止其配置错误、结构不当和模式不正确。

实时保护

OWASP 安全项目指出，“API 安全侧重于了解和缓解应用程序编程接口 (API) 特有漏洞和安全风险的策略和解决方案。”但是，许多声称为 API 提供实时或运行时保护的 API 安全解决方案仅提供可见性。而没有保护的可见性并不是安全性。

在理想情况下，API 安全性从 API 构建时开始，并持续到运行时。Prisma Cloud 很自豪能够为您的 API 提供实时保护，以抵御 OWASP Top 10 for API 中的攻击以及速率限制、恶意机器人等。

此外，我们还提供可自定义的规则，因此团队可以根据其特定场景和环境定制规则。用户还可以启用我们的威胁研究团队针对已知漏洞创建的虚拟补丁，这样您就可以修补应用程序，并让您的团队有时间修复漏洞。

API 风险分析

由于应用程序开发速度快，如果没有自动化，跟踪与 API 相关的风险将非常困难。但是，API 安全首先要全面了解 API 在云环境中带来的风险。

Prisma Cloud 的冬季版本通过 API 风险分析增强了 API 安全功能。此新功能可帮助团队根据环境中所有 API 的 200 多个因素了解和确定风险优先级。现在，您可以最大限度地减少 API 攻击面，并根据风险因素（例如配置错误、敏感数据暴露和缺乏身份验证）管理保护。

文章来源：API Security in a Cloud-Native World