API安全建设指南 | 绿盟下一代Web应用及API安全防护解决方案

谈到API安全，首先需要明确其边界范畴，当我们谈论企业数字化转型和API安全性时，所指的“API”是基于HTTP的（Web）API，API是由资源路径、可以对这些资源执行的操作，以及资源数据的定义（JSON、XML、protobuf、gRPC等格式）组成。

API是组织用来支持其业务流程的一种通用方法，这些可能包括：

1、内部实现和使用的API，以标准化和可扩展的方式使应用程序功能和数据可用于各种系统和用户界面；

2、帮助客户或终端用户轻松访问功能和数据而实施的API；

3、业务合作伙伴使用的API。

其中，序号1是大家以往更熟悉的网站前后端分析、移动应用调用等，更偏向用户端的TOC API。现在，后面两种API越来越多的成为公司为其他企业赋能的优选通道，将公司能力API化，对外提供商业能力。

数字化转型将API推上风口，而API安全问题也应运而生，绿盟君建议客户优先关注以下三个方面：

1、API资产众多，未能有效进行识别、区分、统计；

2、未受控制的API调用；

3、接口业务滥用、漏洞利用等。

而这一优先级的设计，主要是基于API安全与Web应用安全的区别考虑的。

通过OWASP API安全Top10不难发现，API面临的安全风险相较于传统Web安全，整体防护呈现更加精细、独特的特点。

• API存在水平越权和垂直越权两种威胁，对应到Web应用中的访问控制失效；

• API和Web应用都存在认证失败的问题；

• API面临的数据泄露问题在Web应用中也存在，但是Web应用关注的数据泄露根本原因是加密失败导致的；

• API缺乏资源和速率的限制及资产管理属于其特有的安全威胁；

• API批量分配问题对应到Web应用的不安全设计风险；

• API和Web应用都面临安全配置错误、注入、日志记录和监控不足类的风险，但是对于API来说，配置错误、注入、日志记录和监控问题不属于API主要关注的风险点。

基于对API安全风险汇总，参考Gartner的API威胁模型，可以具化为以下四个方向：

应对这四类威胁，API安全建设应该具备如下三大核心能力：API资产发现、API访问控制、API威胁防护。

API资产发现是跨团队协作的过程，它往往会涉及到应用开发团队、安全团队、运维团队等多团队的协同支撑。

API资产发现的宗旨不局限于API列表的更新，不同的项目范围与目标也不尽相同。

API访问控制的功能视图：

API安全防护建设方向指南：

绿盟科技通过Web应用防护系统（WAF）、绿盟业务安全网关（BMG）、绿盟API安全网关（SAG）共同构建了API安全防护端的解决方案，涵盖了API安全的访问控制、威胁防护两大核心要素。同时，绿盟业务安全网关支持API识别，支持从部署的位置中识别API。

绿盟Web应用防护系统（WAF）在API安全解决方案中主要聚焦于API漏洞利用防护及一定的API访问控制能力。在漏洞利用方面：WAF拥有海量的内置规则，通过检测API请求中存在的注入特征，能够有效防止注入类的攻击；WAF支持自学习功能，能够通过自学习建立标准基线，用于检测偏离常规的API异常参数请求；同时也支持对于提交的恶意内容做过滤清洗，检测包含带有恶意编码的API数据内容。在访问控制方面：WAF提供基于IP、域名和url维度的访问控制能力。

绿盟业务安全网关（BMG）同样是API安全建设中不可或缺的一环。该产品聚焦于业务滥用保护，具备强大的Bot管理能力及一定的API识别能力。BOT管理与API防护注定是“天生一对”。API逐渐成为企业核心对外接口，使得BOT流量大幅提升，而在API攻击中，BOT又是主要来源，在针对API业务发起的各类攻击中，恶意爬虫（BOT）是最主要的攻击方式，而BMG是一款专注于高级自动化工具对抗的安全产品，能够有效解决7层DDoS及各种类型的滥用攻击。在API识别方面，BMG通过流量对API资产进行自动识别，并支持手动新建API接口，支持对已有的API接口进行集中管理，包括下线、上线、删除、导入、导出等能力。

绿盟API安全网关（SAG）的核心价值主要体现在访问控制。SAG能够接管所有的API数据接口访问请求，并与统一认证平台的API相关模块联动，逻辑架构上实现控制面与数据面分离，通过通信加密、暴露面收敛、API认证及授权、API流量管控等手段，为API数据通信提供安全保证，并联动API网关控制台上报日志，实现数据接口访问审计，对重要接口、重要数据的访问进行标记，为管理员制定访问控制策略提供依据。