云原生概念從2013年就已經(jīng)提出了,最近幾年該技術(shù)發(fā)展迅猛,標(biāo)準(zhǔn)到實(shí)踐相對(duì)更加成熟,。對(duì)企業(yè)來(lái)說(shuō)云原生是一種既能夠省成本,,又能夠提升效率,還能增強(qiáng)穩(wěn)定性的一種架構(gòu),,同時(shí)云原生還能夠很好跟人工智能和大數(shù)據(jù)等上層技術(shù),、新應(yīng)用相結(jié)合。但云原生技術(shù)帶來(lái)其獨(dú)到的優(yōu)勢(shì)之余,,其本身架構(gòu)的變革也引入了新的安全風(fēng)險(xiǎn),。
11月16日下午,由中國(guó)信息通信研究院主辦,,云原生安全實(shí)驗(yàn)室承辦的“原”動(dòng)力第8期—云原生 API 安全治理沙龍于線上成功舉辦,。本次沙龍邀請(qǐng)到多位行業(yè)專家與業(yè)界頂尖廠商,共同探討云原生 API 安全治理的防護(hù)思路,、研究成果和發(fā)展趨勢(shì),。
中國(guó)信通院云大所云計(jì)算部高級(jí)業(yè)務(wù)主管杜嵐在沙龍活動(dòng)中分享指出,根據(jù)信通院持續(xù)調(diào)研顯示,,安全性已經(jīng)連續(xù)兩年成為企業(yè)用戶云原生化的最大顧慮,,而在企業(yè)內(nèi)部,,云原生安全領(lǐng)域的能力建設(shè)剛剛起步,,20%的用戶云原生環(huán)境沒(méi)有任何安全防護(hù)?!霸圃陌踩ㄔO(shè)是原生化轉(zhuǎn)型的必備項(xiàng)能力,,目前,,企業(yè)一側(cè)更多是具備一些容器安全或者應(yīng)用安全的單點(diǎn)防護(hù)能力,?!?/p>
據(jù)介紹,信通院云大所在云原生安全領(lǐng)域做了很多相關(guān)工作,,在政策支撐和產(chǎn)業(yè)研究方面,,其全面支撐了國(guó)家部委的相關(guān)政策文件的制定,如《企業(yè)上云用云實(shí)施指南(2022)》,,在云原生安全產(chǎn)業(yè)研究方面,,包括19年發(fā)布的《云原生技術(shù)實(shí)踐白皮書(shū)》,20年發(fā)布的《云原生產(chǎn)業(yè)發(fā)展白皮書(shū)》,,21年發(fā)布的《云原生架構(gòu)安全白皮書(shū)》和《中國(guó)云原生用戶調(diào)查報(bào)告》,。在今年,機(jī)構(gòu)推進(jìn)了《云原生安全趨勢(shì)洞察》和《中國(guó)云原生安全用戶調(diào)查報(bào)告》,。
在平臺(tái)搭建和生態(tài)建設(shè)方面,,信通院在2020年成立了云原生安全工作組,在今年6月份,,機(jī)構(gòu)聯(lián)合清華大學(xué)和騰訊云發(fā)起成立了云原生安全實(shí)驗(yàn)室,,實(shí)驗(yàn)室匯聚了眾多行業(yè)頂尖專家學(xué)者,實(shí)驗(yàn)室成員單位已近40家,,共同開(kāi)展云原生安全標(biāo)準(zhǔn)制定,,技術(shù)合作、平臺(tái)工具建設(shè),、產(chǎn)業(yè)研究,,行業(yè)交流等等工作。
在標(biāo)準(zhǔn)和評(píng)估體系建設(shè)方面,,信通院從19年開(kāi)始牽頭制定了包括國(guó)內(nèi)首個(gè)容器安全的標(biāo)準(zhǔn)制定,,至今已經(jīng)建立了相對(duì)完善的云原生安全標(biāo)準(zhǔn)評(píng)估體系,包括《云原生能力成熟度 第3部分:架構(gòu)安全》,、《基于容器的平臺(tái)安全能力要求》,、《云原生安全能力要求 第1部分:API 安全治理》、《云原生應(yīng)用保護(hù)平臺(tái)(CNAPP)能力要求》,,以及推進(jìn)當(dāng)中的《云原生托管服務(wù)(MSS)能力要求》等云原生安全標(biāo)準(zhǔn),。
《云原生安全能力要求 第1部:API 安全治理》
標(biāo)準(zhǔn)解讀
對(duì)應(yīng)沙龍活動(dòng)內(nèi)容,杜嵐重點(diǎn)分享了《云原生安全能力要求 第1部:API 安全治理》標(biāo)準(zhǔn)制定的相關(guān)情況,,這項(xiàng)標(biāo)準(zhǔn)在2021年12月9日中國(guó)信息通信標(biāo)準(zhǔn)化協(xié)會(huì)(CCSA)TC1 WG5的第19次工作組會(huì)議上成功立項(xiàng),,目前經(jīng)過(guò)五輪研討已形成標(biāo)準(zhǔn)征求意見(jiàn)稿。
另?yè)?jù)了解,,參與該標(biāo)準(zhǔn)編制的企業(yè)包括阿里云,、騰訊云,、華為云、瑞數(shù)信息,、星闌科技,、中移信息、用友網(wǎng)絡(luò),、新華三,、小佑科技、青藤云,、天融信,、懸鏡安全、百度,、中移云能,、安易科技等(排名不分先后)。
杜嵐指出,,云原生化之后,,從基礎(chǔ)架構(gòu)層、到微服務(wù)業(yè)務(wù)層都會(huì)有很多標(biāo)準(zhǔn)或非標(biāo)準(zhǔn)的 API,,即充當(dāng)外部與應(yīng)用的訪問(wèn)入口,,也充當(dāng)應(yīng)用內(nèi)部服務(wù)間的訪問(wèn)入口。這項(xiàng)標(biāo)準(zhǔn)的制定背景即對(duì)應(yīng)了云原生化的 API 數(shù)量的急劇增加,、調(diào)用頻繁復(fù)雜,、攻擊面擴(kuò)大等風(fēng)險(xiǎn)。標(biāo)準(zhǔn)將適用于指導(dǎo)用云企業(yè)構(gòu)建 API 安全治理能力,,適用于規(guī)范相關(guān)云平臺(tái),、安全產(chǎn)品及解決方案的能力水平與服務(wù)質(zhì)量。
《云原生安全能力要求 第1部:API 安全治理》劃分了六大標(biāo)準(zhǔn)框架,,分為 API 資產(chǎn)管理,、API 風(fēng)險(xiǎn)評(píng)估、API 權(quán)限控制,、API 安全監(jiān)測(cè),、API 安全響應(yīng)以及審計(jì)與溯源。
01 API 資產(chǎn)管理:API 資產(chǎn)可視可管是云應(yīng)用 API 安全治理的基礎(chǔ),。API 資產(chǎn)管理能力設(shè)計(jì)應(yīng)能夠自動(dòng)化覆蓋存量及增量業(yè)務(wù)的 API,,同時(shí)能夠從不同視角對(duì)資產(chǎn)進(jìn)行管理。
其中 API 資產(chǎn)管理能力分為三個(gè)子項(xiàng)能力,,分別是 API 資產(chǎn)發(fā)現(xiàn),、敏感數(shù)據(jù)識(shí)別、統(tǒng)一管理,。三大章節(jié)所要解決的問(wèn)題核心是 API 資產(chǎn)的多源發(fā)現(xiàn)和統(tǒng)一可視化管理,,并且強(qiáng)調(diào)了應(yīng)以數(shù)據(jù)角度對(duì) API 進(jìn)行分類管理,,避免潛在的數(shù)據(jù)泄露事件發(fā)生。
02 API 風(fēng)險(xiǎn)評(píng)估:應(yīng)根據(jù)API攻擊面及業(yè)務(wù)需要建立不同維度的 API 威脅識(shí)別,、風(fēng)險(xiǎn)評(píng)估能力,,在 API 資產(chǎn)被攻擊之前主動(dòng)進(jìn)行安全檢測(cè),收斂攻擊面,、降低 API 整體防護(hù)成本,。包含風(fēng)險(xiǎn)的檢測(cè),、評(píng)估以及修復(fù)(建議)等,。
API 風(fēng)險(xiǎn)評(píng)估同樣分為三個(gè)子項(xiàng)能力,分別是脆弱性評(píng)估,、業(yè)務(wù)邏輯漏洞檢測(cè),、應(yīng)用漏洞檢測(cè),對(duì)應(yīng)了 API 設(shè)計(jì)或配置不當(dāng)?shù)仍虍a(chǎn)生的安全風(fēng)險(xiǎn),、API 因業(yè)務(wù)邏輯設(shè)計(jì)不當(dāng)產(chǎn)生的安全風(fēng)險(xiǎn),、及中間件 API 漏洞、Web API 漏洞,、業(yè)務(wù) API 代碼漏洞等風(fēng)險(xiǎn),。
03 API 權(quán)限控制:面向云原生平臺(tái)及應(yīng)用 API 訪問(wèn)的認(rèn)證、鑒權(quán)和安全控制,。
權(quán)限管理,、訪問(wèn)控制、安全通信是 API 權(quán)限控制的三個(gè)子項(xiàng)能力,,權(quán)限管理對(duì)應(yīng) API 細(xì)粒度的訪問(wèn)權(quán)限設(shè)置,,包括資源操作的權(quán)限,面向用戶的權(quán)限和面向服務(wù)的權(quán)限,,以及對(duì)權(quán)限全生命周期的管理和一些權(quán)限策略的建議生成,。訪問(wèn)控制對(duì)應(yīng)通過(guò)多種認(rèn)證和鑒權(quán)的方式,去防止 API 資源不被惡意篡改和濫用,。安全通信強(qiáng)調(diào) API 通信數(shù)據(jù)的機(jī)密性和完整性,,如利用通信加密方式。
04 API 安全監(jiān)測(cè):對(duì) API 交互過(guò)程中的運(yùn)行狀態(tài),、交互行為和數(shù)據(jù)流進(jìn)行監(jiān)測(cè),,發(fā)現(xiàn) API 安全攻擊和異常行為。
API運(yùn)行狀態(tài)監(jiān)測(cè),、安全攻擊檢測(cè),、數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)、異常行為識(shí)別是 API 安全監(jiān)測(cè)的四個(gè)子項(xiàng)能力,,API 運(yùn)行狀態(tài)監(jiān)測(cè)包括 API 響應(yīng)時(shí)長(zhǎng),、訪問(wèn)狀態(tài),、異常流量和接口訪問(wèn)合規(guī)性等。安全攻擊檢測(cè)能力要求對(duì) API 請(qǐng)示流量進(jìn)行識(shí)別,,檢測(cè)流量中的惡意代碼,,識(shí)別針對(duì) API 接口的安全攻擊行為。數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)能力需要對(duì) API 流量交互中的數(shù)據(jù)流轉(zhuǎn)進(jìn)行監(jiān)測(cè),,從而識(shí)別數(shù)據(jù)流轉(zhuǎn)中的敏感信息,。異常行為識(shí)別方面要求對(duì) API 接口的訪問(wèn)行為進(jìn)行分析、識(shí)別,,利用行為模型學(xué)習(xí)構(gòu)建檢測(cè)異常,。
05 API 安全響應(yīng)&審計(jì)與溯源:發(fā)現(xiàn)攻擊和異常后的響應(yīng)能力,以及事后的審計(jì)溯源能力,。
在 API 安全響應(yīng)方面,,標(biāo)準(zhǔn)要求建立精細(xì)的響應(yīng)策略和豐富的響應(yīng)手段,同時(shí)強(qiáng)調(diào)對(duì)敏感數(shù)據(jù)的阻斷脫敏,、分級(jí)分類管制,、以及與第三方數(shù)據(jù)安全產(chǎn)品之間的開(kāi)放性與可擴(kuò)展性。溯源審計(jì)和溯源方面,,標(biāo)準(zhǔn)要求首先要面向 API 日志的采集與審計(jì)分析,,同時(shí)還有安全事件的工具溯源分析。由于 API 獨(dú)立的攻擊溯源能力是有限的,,所以標(biāo)準(zhǔn)更多強(qiáng)調(diào)的是和其他威脅情報(bào)或安全產(chǎn)品的關(guān)聯(lián)分析和聯(lián)合態(tài)勢(shì)處置等,。
據(jù)悉,信通院后續(xù)會(huì)持續(xù)完善云原生安全標(biāo)準(zhǔn)評(píng)估體系,。
云原生環(huán)境 API 安全治理實(shí)踐分享
應(yīng)深入業(yè)務(wù)不斷進(jìn)行優(yōu)化策略調(diào)整
瑞數(shù)信息技術(shù)總監(jiān)吳劍剛在沙龍活動(dòng)分享《云原生環(huán)境 API 安全治理實(shí)踐》時(shí)指出,,隨著數(shù)據(jù)中臺(tái)、微,?,?服務(wù)、云原生等技術(shù)的深入應(yīng)用,,大量 API 被廣泛應(yīng)用在數(shù)字生活的每個(gè)領(lǐng)域,,伴隨著業(yè)務(wù)接入渠道的豐富,API 的安全問(wèn)題必須受到企業(yè)重視,。
吳劍剛分享列舉了一系列國(guó)內(nèi)的因?yàn)?API 管控不當(dāng)導(dǎo)致的數(shù)據(jù)泄露事件,,并強(qiáng)調(diào) API 所帶來(lái)的安全隱患是需要全行業(yè)共同面對(duì)的多維度的安全風(fēng)險(xiǎn),以衛(wèi)生和健康行業(yè)為例,,因?yàn)橐咔榈脑???API 的訪問(wèn)量就增漲了900%,。
總結(jié)云原生環(huán)境下 API 安全面臨的挑戰(zhàn)時(shí)吳劍剛表示,云原生架構(gòu)的特點(diǎn)是資產(chǎn)增長(zhǎng)快,且訪問(wèn)不經(jīng)過(guò)邊界設(shè)備,,這帶來(lái)了防護(hù)方式的不同,。為應(yīng)對(duì)云原生環(huán)境下 API 安全治理挑戰(zhàn),瑞數(shù)信息構(gòu)建了一整套深入云原生環(huán)境下的全新防護(hù)思路,,從感知,、發(fā)現(xiàn)、監(jiān)測(cè)到保護(hù)的閉環(huán)能力為用戶構(gòu)建為云原生 API 安全能力,。
在活動(dòng)現(xiàn)場(chǎng),,吳劍剛分享了瑞數(shù)信息云原生環(huán)境下 API 安全解決方案的諸多技術(shù)細(xì)節(jié)點(diǎn),包括云原生環(huán)境流量采集的具體實(shí)踐,、云原生環(huán)境 API 監(jiān)測(cè)和管控于一體的防護(hù)架構(gòu)的實(shí)現(xiàn)方式等,,并對(duì)一些關(guān)鍵點(diǎn)如 API 接口資產(chǎn)管理、API 風(fēng)險(xiǎn)檢測(cè),、敏感數(shù)據(jù)管控,、敏感數(shù)據(jù)映射,、API 訪問(wèn)行為管控等具體技術(shù)細(xì)節(jié)進(jìn)行了介紹,。
在客戶實(shí)踐方面,某客戶在云原生化改造之后上線了瑞數(shù) API 安全管控平臺(tái),,平臺(tái)部署上線共實(shí)現(xiàn)了自動(dòng)發(fā)現(xiàn)和確認(rèn) API 資產(chǎn),,并實(shí)現(xiàn)了基于業(yè)務(wù)的分組安全治理。在平臺(tái)運(yùn)行過(guò)程中,,平臺(tái)可以及時(shí)了解當(dāng)前 API 在合規(guī)要求,、應(yīng)用安全等多方面存在的缺陷,明文傳輸敏感數(shù)據(jù)等等,,以及針對(duì) API 接口的攻擊等多維度 API 安全治理,,便于后續(xù)有針對(duì)性的完善 API 安全機(jī)制和實(shí)時(shí)防護(hù)。
吳劍剛總結(jié)指出,,資產(chǎn)梳理是云原生 API 安全治理的基礎(chǔ)工作,,在安全監(jiān)測(cè)識(shí)別方面,缺陷的風(fēng)險(xiǎn)識(shí)別和攻擊識(shí)別缺一不可,,基于云原生構(gòu)架的獨(dú)特性,,更建議采用多維度、多技術(shù)提供更強(qiáng)的安全包容性,,更加重要的是 API 安全要結(jié)合業(yè)務(wù)不斷進(jìn)行優(yōu)化策略調(diào)整,,這樣才能夠真正讓用戶用起來(lái)。
以一線安全廠商角度觀察時(shí)吳劍剛指出,,現(xiàn)階段針對(duì) API 的攻擊76%的攻擊都是以爬蟲(chóng)攻擊為主,,針對(duì)金融服務(wù)的撞庫(kù)攻擊75%以 API 為目標(biāo),80%的數(shù)據(jù)泄露全是于來(lái)自于外部的數(shù)據(jù)泄露,。所以 API 安全治理的核心主要解決的實(shí)際上就是 API 安全合規(guī)問(wèn)題和 API 安全風(fēng)險(xiǎn)問(wèn)題,。
中國(guó)信通院云大所云計(jì)算部主任馬飛于沙龍活動(dòng)中發(fā)表致辭,,除瑞數(shù)信息之外,來(lái)自騰訊安全,、綠盟科技,、星闌科技的安全專家均分享了云原生 API 安全思考與實(shí)踐。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<