一、API數(shù)據(jù)安全現(xiàn)狀

近年來伴隨著通信技術高速發(fā)展，人們對應用程序的依賴逐漸增強。應用無論在經(jīng)濟活動或民生需求層面都成為了不可或缺的重要工具，金融、教育、交通、醫(yī)療等各領域內(nèi)應用互聯(lián)互通現(xiàn)象頻繁出現(xiàn)，“單點式應用”已經(jīng)難以服務數(shù)據(jù)時代的龐大數(shù)據(jù)量。

在各類內(nèi)部、外部應用數(shù)量呈現(xiàn)指數(shù)型增長的情況下，應用數(shù)據(jù)已經(jīng)作為生產(chǎn)要素逐步轉變?yōu)槠髽I(yè)發(fā)展乃至國家發(fā)展的重要戰(zhàn)略資產(chǎn)。尤其在云原生時代，應用的顆粒度被更加細化，大多數(shù)應用以微服務的形態(tài)出現(xiàn)，服務之間的協(xié)同交互訪問頻率更高、關系更加復雜。同時成倍的數(shù)據(jù)訪問帶來的風險也是呈指數(shù)型增長的，傳統(tǒng)網(wǎng)絡安全產(chǎn)品單靠固化的訪問控制邏輯顯得捉襟見肘。

二、API安全重要性

API 無論在應用開發(fā)、應用發(fā)布、應用數(shù)據(jù)共享時都被頻繁使用，故而近年來API攻擊也正成為主要的非法數(shù)據(jù)獲取手段。應用API可能存在身份驗證和授權損壞、缺乏速率限制和代碼注入等漏洞，而在幾類攻擊中最常見、危害最大的就是身份認證及授權問題。攻擊者通過破壞身份驗證令牌或利用實現(xiàn)中的缺陷以一次性或永久地冒充另一個用戶，此后接受用戶輸入并使用它來訪問數(shù)據(jù)源的函數(shù)都產(chǎn)生級別訪問控制問題，擴大攻擊面，造成數(shù)據(jù)泄露、篡改等安全事故。

三、零信任API數(shù)據(jù)安全管控整體介紹

零信任API數(shù)據(jù)安全管控整體架構圖

傳統(tǒng)的 IT 網(wǎng)絡架構中，安全建設的重心往往聚焦于內(nèi)外網(wǎng)隔離、邊界部署防護等等邊界類安全產(chǎn)品上，從而導致整體安全防御能力重邊界、輕縱深，面對攻擊者的橫向擴展束手無策。尤其在政府行業(yè)中，各個局委辦把數(shù)據(jù)統(tǒng)一交到政務大數(shù)據(jù)中心進行數(shù)據(jù)共享，這其中涉及到大量API調(diào)用及數(shù)據(jù)交換動作。為了能更好地實現(xiàn)政務數(shù)據(jù)的資源共享，讓老百姓體驗“一網(wǎng)通辦”的同時可以保障整體數(shù)據(jù)安全，零信任概念拋棄傳統(tǒng)網(wǎng)絡安全的“內(nèi)網(wǎng)可信”前提，在調(diào)用資源的動作前，授權中心認為所有的用戶身份都為不可信狀態(tài)，需要逐一進行鑒權、認證。零信任安全模型跟傳統(tǒng)的網(wǎng)絡接入控制模型不同，通過網(wǎng)絡隱身技術實現(xiàn)先認證后連接，端口不暴露在外部環(huán)境中，從而達到了服務隱身的效果，最大程度保障服務資源的安全性。同時基于零信任的API數(shù)據(jù)安全管控采用流量代理網(wǎng)關的模式，通過全流量代理網(wǎng)關作為統(tǒng)一入口，對特定的應用由應用代理模塊進行控制，處理各種 C/S 和 B/S 的應用。

簡而言之，零信任打破了信任和網(wǎng)絡位置的固定關系，通過動態(tài)持續(xù)監(jiān)測各參與對象的安全狀態(tài)，對其重建信任評估，然后進行動態(tài)調(diào)整權限、降權、阻斷等強管控手段。

四、亮點功能詳解

1、服務隱身

2013年，國際云安全聯(lián)盟提出軟件定義邊界（Software-Defined-Perimeter，即SDP）安全模型作為零信任的最佳實踐，原理基于身份和上下文的邏輯訪問邊界，SDP從架構設計上就只允許可信任的業(yè)務報文通過，同時丟棄不合法報文。其中“服務隱身”作為最核心的關鍵技術之一主要目的是克服互聯(lián)網(wǎng)協(xié)議在數(shù)據(jù)傳說過程中的開放性，而在客戶端鏈接控制器和網(wǎng)關之前，都需要進行一次SPA（Single Packet Authorization）單包認證，通過后才能成功連接上控制器和網(wǎng)關，在認證成功之前，控制器和網(wǎng)關對于客戶端是不可見也不可使用的，從而達到了服務隱身的效果。

?由此，SPA可以看做通信層的訪問保護，主要在網(wǎng)絡通信層保護防火墻之后的后端服務。SPA首包認證作為網(wǎng)絡通信的授權認證手段，可以有效地防范未信任數(shù)據(jù)包的風險。而想要達到“服務隱身”的效果同時也需要資源側提供相對應的支持，例如隱身服務無監(jiān)聽端口、具備高性能處理條件、多因子認證策略、異常SPA報文初步校驗等等。

2、流量代理網(wǎng)關

網(wǎng)關作為零信任體系中的基礎組件承擔著數(shù)據(jù)獲取責任，使用四層流量代理方式，終端在有 Agent 的情況下，可通過網(wǎng)絡過濾驅(qū)動將本地流量轉發(fā)給零信任網(wǎng)關。在基于零信任的API數(shù)據(jù)安全監(jiān)控體系中，以流量代理作為主要數(shù)據(jù)獲取來源。透明代理的方式既避免了大量接入客戶端修改配置目標地址也便于后續(xù)進行流量收集、解析。

訪問流量經(jīng)過零信任的數(shù)據(jù)流首先到達流量代理網(wǎng)關，網(wǎng)關會向訪問控制中心獲取該用戶的相關信息及授權，一旦身份驗證失敗則會要求用戶訪問控制中心進行再次身份認證，認證若通過則是由控制中心下發(fā)用戶身份驗證信息給代理網(wǎng)關，之后代理網(wǎng)關代替訪問主體去訪問業(yè)務系統(tǒng)。四層流量代理可以實現(xiàn)B/S 與 C/S 應用全局代理，因此可以實現(xiàn)更精準的數(shù)據(jù)分析，提高安全檢測能力。此外該模式下，C/S應用不需要改造，可以直接接入零信任體系中，減少了對業(yè)務的入侵性。

3、細粒度授權、鑒權

細粒度鑒權主要針對核心應用，例如交易系統(tǒng)、對賬系統(tǒng)等等，這類應用往往具有高頻次訪問、敏感數(shù)據(jù)多、數(shù)據(jù)價值高等特點。因此在零信任API數(shù)據(jù)安全監(jiān)控體系中會包含單獨的訪問控制服務器，該服務器為管理員提供細粒度授權管理，包括數(shù)據(jù)脫敏配置、訪問頻次配置、返回數(shù)據(jù)量配置等安全策略。管理員可針對人員、應用等不同角色身份進行靈活配置，高度適配企業(yè)內(nèi)部場景。

?流量經(jīng)由網(wǎng)關交由訪問控制服務器時會對當前訪問者身份進行鑒權，只有符合資源權限方可放行，轉發(fā)至最終資源服務器，妥善解決了不同應用、不同訪問者API調(diào)用及數(shù)據(jù)獲取權限的動態(tài)場景。同時基于機器學習以及對象安全狀態(tài)進行動態(tài)升降權調(diào)整也是零信任體系中的核心概念，例如某應用雖然以合法方式登錄獲取令牌，但登錄IP為境外IP、登錄時間為凌晨2點，則訪問控制服務器會認為該行為存在風險，自動進行權限降級處理，僅支持獲取100條用戶數(shù)據(jù)，超量則觸發(fā)告警，有效避免用戶登錄令牌丟失、竊用造成的企業(yè)數(shù)據(jù)損失。

4、異常行為分析

常見的零信任網(wǎng)關通常將能力聚焦于請求處理、分發(fā)、鑒權，而忽視了網(wǎng)關的數(shù)據(jù)基礎帶來的分析價值，零信任API數(shù)據(jù)安全監(jiān)控體系將請求來源數(shù)據(jù)作為核心基礎數(shù)據(jù)，在捕獲異常請求的第一時間將會觸發(fā)阻斷及告警機制，同時采用可擴展性和洞察力更高的UEBA框架進行安全分析，基于機器學習方法將用戶行為與用戶實體進行關聯(lián)分析得出隱藏風險和內(nèi)部威脅的行為并產(chǎn)出周度、月度、季度行為分析報告，如越權訪問、高頻次訪問、敏感數(shù)據(jù)透出、改進建議等報告項，協(xié)助用戶及早發(fā)現(xiàn)問題、定位問題，將安全風險扼殺在搖籃中。

五、總結

工信部2019年起草的《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見(征求意見稿)》提出，要積極探索可信計算、零信任等網(wǎng)絡安全的新理念、新架構，促進網(wǎng)絡安全理念和技術的創(chuàng)新。零信任作為一種全新安全架構，秉承“永不信任，始終驗證。”的核心技術理念并貫穿業(yè)務的全過程，涉及數(shù)據(jù)使用的全生命周期。通過實施最少特權訪問，組織可以最大程度地減少攻擊面，提高審計和合規(guī)性可見性，無論內(nèi)網(wǎng)還是外網(wǎng)的場景，零信任架構都能夠很好地解決企業(yè)的數(shù)據(jù)安全問題。以零信任為基礎的安全架構，融合成熟的傳統(tǒng)安全能力，在避免重復建設的同時，能夠為企業(yè)提供全方位的數(shù)據(jù)安全能力，將現(xiàn)有的安全產(chǎn)品更加立體地結合，形成有效聯(lián)動，通過動態(tài)降權、阻斷等方式提升數(shù)據(jù)安全管控功能，實現(xiàn)API的全流程安全管控。

鵬信科技零信任API數(shù)據(jù)安全管控方案通過引入持續(xù)認證、服務隱身、動態(tài)調(diào)權等零信任技術，可有效解決傳統(tǒng)邊界模型對內(nèi)網(wǎng)過度信任的問題?；诹髁看韯t減少了企業(yè)業(yè)務的非法暴露面，推動業(yè)務精細化準入，API細粒度業(yè)務調(diào)用，同時結合UEBA等異常行為監(jiān)測技術實時發(fā)現(xiàn)違規(guī)行為并及時阻斷，為API數(shù)據(jù)安全管控提供了全新、高效的解決方案。

來源：【鵬信科技】微信公眾號