《F5：API安全最佳實踐-API 防護的關鍵考慮因素白皮書（15頁）.pdf》由會員分享，可在線閱讀，更多相關《F5：API安全最佳實踐-API 防護的關鍵考慮因素白皮書（15頁）.pdf（15頁珍藏版）》請在三個皮匠報告上搜索。

1、API 安全最佳實踐：API 防護的關鍵考慮因素成功的 API 安全需要關注多個方面。引言應用編程接口（API）旨在簡化數字生態系統彼此之間的通信和交互方式。API 本質上能夠降低多個不同系統連接的復雜性，幫助開發人員快速輕松地將第三方內容或服務集成到其應用中，自動執行日常任務，并提高在線購物、一站式行程規劃及其他數字服務的便捷性。在這個日益互聯的世界中，API 已經從幫助開發人員借助已有能力快速實現新功能的工具，演變成為了數字經濟的重要組成部分。隨著現代應用的不斷演進，它們越來越依賴第三方 API 來架起應用現代化改造的橋梁。API 現已成為更完整、更便捷、更強大的數字體驗的可靠基石。API

2、 作為應用開發的基礎構建模塊的廣泛使用，催生出一系列基礎架構和部署場景，也帶來了高度分散的架構。然而，對 API 的日益依賴也顯著擴大了入侵、濫用及欺詐的風險面，給現有的安全工具帶來了不小的挑戰。API 安全最佳實踐：API 防護的關鍵考慮因素2在去中心化的分布式架構中保護 API 所面臨的挑戰因為 API 支持應用之間快速建立連接并可輕松集成新內容和服務，所以它們已經成為當今數字經濟的基礎。API 是向現有數字產品添加特性的最快速、最高效的方法之一。利用 API 可以實現輕松地將新的服務、數據和功能（如數字地圖服務或在線零售購物車）添加到現有應用中。因此，API 對于實現傳統應用的現代化和提

3、高 Web 服務開發的速度和效率而言不可或缺。隨著快速、敏捷、無縫的數字體驗成為當今企業的核心要素和競爭優勢，API 提供了一種功能強大、用途廣泛的方法幫助企業與客戶、合作伙伴、供應商、員工及其他用戶建立連接。API 還能夠穩定、高效地為一系列開發平臺或框架（其中移動應用、單頁應用和微服務是主流）提供數據、內容及功能。API 能夠提高整個生態系統的易用性、性能和可靠性，改善用戶體驗，并支持快速訪問重要數據和信息，從而實現與客戶和合作伙伴之間穩定、安全的協作與創新。想想看，一款旅行應用不僅可以支持機票預訂，而且還提供租車服務、在線旅行指南、天氣信息和實時航班狀態。上述所有服務和內容資源均通過第三

4、方 API 提供。開發人員可利用這些 API 提高應用開發效率并加快上市速度，同時還可以通過提供的增值服務來打造差異化客戶體驗。隨著將 API 用作互聯解決方案，應用開始轉向日益分散和去中心化模型。由于 API 通常設計為對外暴露，因此它們將成為企業需要保護的敏感數據的入口?，F代 API 交付設計具有創新性和流動性，應用組件可能分散在多個環境中，因此很難一致地管理和保護所有元素。API 的組件可能位于多個云提供商中，并存在于混合數據中心、私有云及公有云環境組合中。此外，容器和無服務器系統會創建臨時組件，這些也必須予以妥善保護。在這些日益去中心化的模型中，分布在異構基礎架構中的 API 超出了集

5、中式安全控制的范圍，增加了攻擊者的攻擊面和潛在的入口點。傳統三層 Web 堆?，F代分布式應用圖 1：架構去中心化帶來的復雜性極大地擴大了威脅面。API 安全最佳實踐：API 防護的關鍵考慮因素34API 對于實現傳統應用的現代化和提高 Web 服務開發的速度和效率而言必不可少。API 安全最佳實踐：API 防護的關鍵考慮因素4API 容易受到與 Web 應用相同的攻擊API 安全事件是很多重大數據泄露事件的罪魁禍首，因為 API 很容易受到許多針對 Web 應用的攻擊，包括漏洞利用和 Bot 濫用。這類攻擊包括數據泄露，即黑客可以在未經授權的情況下侵入計算機網絡并竊取機密信息。API 也容易受

6、到 Bot 攻擊和惡意自動化攻擊。Bot 在互聯網中無處不在 事實上，根據 F5 Labs 的分析，針對用戶身份驗證的訪問攻擊（通常由 Bot 執行）是造成數據泄露的主要原因。1Bot 是通過執行自動化、重復性、預定義的任務來在互聯網上模仿人類行為的軟件程序。它們既可執行實用功能，例如自動化客戶服務、模擬社交網絡上的人際交流或索引搜索引擎；也可用于執行惡意任務，包括通過撞庫攻擊竊取財務數據和個人信息，以及因帳戶接管（ATO）造成的其他形式的欺詐和濫用。Bot 還能夠實施大規模分布式拒絕服務（DDoS）攻擊，通過使用虛假網絡流量使系統過載，導致合法的 Web 服務、網絡或 API 不堪重負，致使

7、服務中斷。自動 DDoS 攻擊會消耗服務器和網絡資源，破壞公司開展業務所依賴的 Web 服務，或者造成公司的網絡過載并完全癱瘓。應用暴力破解、注入等攻擊者數據用戶名API暴力破解、注入等攻擊者圖 2：API 容易受到許多與 Web 應用相同的安全漏洞風險。API 安全最佳實踐：API 防護的關鍵考慮因素5我的銀行轉賬完成300.00 美元下一次轉賬因此，風險管理領導者需要密切關注 Bot 驅動的攻擊，這些攻擊會導致入侵和數據泄露，也會影響傳統 Web 應用和現代 API 結構的正常運行時間和可靠性?，F有安全控制措施可能無法保護 API傳統安全控制措施，例如基本 Web 應用防火墻（WAF）及安

8、全信息和事件管理（SIEM）系統，不足以識別并防止針對 API 的攻擊，部分原因在于機器對機器或 API 對 API 的交互量很大，從表面上看，攻擊和入侵似乎是正常的應用行為，但在后臺，API 可能會被利用和濫用，從而使攻擊者能夠逃避檢測直到發現時為時已晚。東西向 API 流量（即數據中心內服務器與應用之間的網絡通信），經常會繞過集中式安全控制。這與南北向網絡流量不同，南北向網絡流量指的是進出數據中心邊界的客戶端-服務器通信，通常由各類防火墻、入侵檢測系統、DDoS 防護設備及數據中心入口處的其他分層防護提供保護。然而，對于東西向流量，即使大型企業可能在數據中心與多個私有云和公有云之間生成大量

9、的東西向流量，也沒有單點檢測來監控惡意活動。輸入驗證（有時稱為數據驗證）是企業嘗試保護其應用的另一種方法。輸入驗證是一種風險控制方法，用于測試用戶提供的任何輸入信息，以防止格式不正確的數據執行業務邏輯。由于 API 專為機器對機器通信和數據交換而設計，因此 API 能夠直接訪問企業最敏感的數據，所以，相比面向用戶的 web 表單，API 的輸入驗證可能沒那么嚴格，或者未經過測試。API 安全最佳實踐：API 防護的關鍵考慮因素6輸入驗證是一種風險控制方法，用于測試用戶提供的任何輸入信息，以防止格式不正確的數據執行業務邏輯。API 安全最佳實踐：API 防護的關鍵考慮因素7多云架構以及使用多個數

10、據中心的架構，會使 API 安全防護的難度加大，并導致 API 蔓延。當 API 廣泛分布但卻未實施全面治理策略時，就會出現這種情況。此類架構難以確保安全，部分原因在于其缺乏跨環境的可預測和可信的可觀測性。不一致的 API 攻擊檢測和策略實施（由于維護跨多個云和數據中心的應用部署非常復雜，因此這在此類架構中很常見）可能會帶來未知的風險和危險的安全漏洞?，F代應用生命周期引入意想不到的風險許多企業使用持續改進和持續交付（CI/CD）開發流程，以便快速、可靠地部署代碼變更和新版本軟件。然而，任何軟件變更都可能引入或增加風險。隨著應用開發團隊不斷使用 CI/CD 流水線加快創新，越來越多的 API 調

11、用最終可能隱藏在業務邏輯的深處，使其極難發現和識別，并增加了通過第三方 API 實施攻擊的風險。圖 3：API 可深度嵌入到業務邏輯中，但仍然容易受到攻擊。數據庫通過應用訪問 API掃描并識別易受攻擊的 API將惡意腳本注入易受攻擊的 API 中返回帶有惡意腳本的內容API 安全最佳實踐：API 防護的關鍵考慮因素8使用第三方 API 能夠幫助企業節省大量時間，簡化開發流程，并輕松訪問其他公司創建的功能和服務。盡管企業可以控制他們開發的 API，但使用第三方 API 會打開其門戶，使網絡犯罪分子能夠輕松訪問他們的數據和應用?？此茻o害的功能（如開源日志庫）可能是重大缺陷和漏洞的根源。2 在部署公

12、共 API（例如通過開源庫提供的 API）時，開發人員通常會繞過已有的安全流程和程序。如今，企業面臨著不斷變化的風險態勢，新威脅向量層出不窮。第三方聚合商便是一個典型示例，比如為消費者和商家提供替代支付選項或其他金融服務的公司。第三方聚合商提供了消費者和商家重視的服務，但也引入了新的風險，可能會泄露消費者的個人信息，導致欺詐或身份盜用，并使商家的系統面臨潛在的攻擊。在安全方面，CI/CD 流水線對許多企業來說也是利弊皆有。隨著企業不斷使用自動化 CI/CD 流水線來加快開發速度并縮短部署周期，許多企業的安全策略仍然使用人工流程來發現和評估軟件組件。這種方法是不切實際的，而且可能會增加企業面臨的

13、風險。與此同時，被動安全防護（直到系統中出現威脅才采取行動）會阻礙軟件開發和發布周期，并拖慢上市速度。因此，許多企業為了追求速度而犧牲了安全防護，這增加了其遭受攻擊的風險。API 安全最佳實踐：API 防護的關鍵考慮因素9圖 4：CI/CD 流水線自動化會掩蓋 API 漏洞。將惡意代碼注入CI/CD 流水線中部署下載并安裝惡意代碼通過惡意代碼獲得網絡訪問權限測試/構建CI/CD 流水線API 安全最佳實踐：API 防護的關鍵考慮因素10API 默認會引入更多風險API 是許多現代應用的基礎，也是在多個層面開展創新和數字化轉型的關鍵組成部分。它們可支持不同的系統無縫協同工作，加快上市速度，并允許

14、開發人員輕松訪問第三方特性、功能及服務，從而增強客戶體驗。與此同時，API 也在企業內部打開了多個門戶，不可避免地引入了新的、難以管理的風險。盡管如此，API 的使用量仍在持續激增 預計到 2031 年，API 的數量將達到 10 億，攻擊面也在不斷擴大。3 隨著企業繼續使用 API 開展創新并對應用組合進行現代化改造，端點和參數的數量不斷增加，攻擊風險也日益攀升。從根本上說，API 為攻擊者的偵察提供了更多信息。API 本身及所包含的信息可幫助黑客了解系統內部，進而發起有針對性的攻擊。尤其是 log4j2 等開源漏洞，在漏洞利用工具包發布后，攻擊者便會立即開始掃描互聯網以尋找易受攻擊的主機。

15、軟件供應鏈的復雜性及其風險評估的難度都需要應用和安全團隊之間保持更高的一致性。4API 安全最佳實踐：API 防護的關鍵考慮因素11API 防護的關鍵考慮因素在準備加強 API 安全防護時，企業需要考慮以下幾點：圖 5：成功實施 API 安全策略需要考慮到多個方面。持續監控和保護 API 端點：快速識別不斷變化的應用集成，檢測易受攻擊的組件，并通過第三方集成緩解攻擊。實施主動安全模式：支持 OpenAPI 規范和 API Swagger 導入功能，以驗證模式和強制執行協議合規性，自動為確定正常流量模式設定基線并檢測異常行為。采用零信任和基于風險的安全原則：限制可用方法、檢查有效載荷和防止未經授

16、權的數據泄露，并為對象和功能實施訪問控制和基于風險的身份驗證。響應不斷變化的應用生命周期：防止跨異構環境的安全配置錯誤，緩解可能導致入侵和拒絕服務的濫用，并在云端和架構之間一致地修復威脅。API 安全最佳實踐：API 防護的關鍵考慮因素12圖 6：API 是當今分散化分布式計算基礎架構的核心。結論API 對數字業務至關重要，但較之用例更可預測的傳統架構（如數據中心內的自定義三層 Web 堆棧），API 本身更加難以保護。API 催生了去中心化的分布式架構，為第三方集成提供了無限可能，也從根本上改變了安全和風險團隊的工作。新數字經濟邊緣云API 安全最佳實踐：API 防護的關鍵考慮因素13附錄1

17、 Sander Vinberg 和 Raymond Pompon，“2022 年應用保護報告：數據泄露預測”，F5 Labs（2022 年 2 月 15 日）https:/ Andrew van der Stock、Brian Glas、Neil Smithline、Torsten Gigler，“2021 年 OWASP 十大安全漏洞：新一波風險”，OWASP（2021 年 9 月 24 日）https:/ Rajesh Narayanan 和 Mike Wiley，API 持續蔓延：API 驅動型經濟的挑戰與機遇（2021 年）https:/ Sander Vinberg，“Log4She

18、ll：隨之重啟（老一套）安全原則”，F5 Labs（2021 年 12 月 17 日）https:/ 安全最佳實踐：API 防護的關鍵考慮因素14安全、簡化、創新F5 一系列有關自動化、安全性、性能和洞察的產品組合可幫助客戶創建、保護和運行“感知可控，隨需而變”的應用，從而降低成本、改善運營并增強對用戶的保護。更多信息，請訪問： 市場銷售熱線：400 991 8366F5 售后支持電話：400 815 5595，010-5643 8123F5 在線聯系：F5 公司北京辦公室地址：北京市朝陽區建國路 81 號華貿中心 1 號寫字樓 21 層 05-09 室郵編：100025電話：(+86)10

19、5643 8000傳真：(+86)10 5643 8100https:/F5 公司上海辦公室地址：上海市黃浦區湖濱路 222 號企業天地 1 號樓 1119 室郵編：200021電話：(+86)21 6113 2588傳真：(+86)21 6113 2599https:/F5 公司廣州辦公室地址：廣州市天河區珠江新城華夏路 10 號富力中心寫字樓 1108 室郵編：510623電話：(+86)20 3892 7557傳真：(+86)20 3892 7547https:/美國總部：801 5th Ave，Seattle，WA 98104|888-882-4447/美洲： 2023 F5 Networks,Inc.保留所有權利。F5、F5 Networks 和 F5 標識是 F5 Networks 公司在美國和其他國家（地區）的商標。其他 F5 商標可在 上予以確認。本文提及的所有其他產品、服務或公司名稱可能是其各自所有者的商標，與 F5 并無隸屬關系，F5 不做任何明示或暗示的擔保。EBOOK-SDE-1024077086F5 社區官方微信活動中心（錄像回放、PPT 下載）、安全報告下載NGINX 開源社區微信F5 社區技術群NGINX 社區微信群