API 安全:API 活动数据采集的最佳实践
API 数据收集是 API 安全的基础。数据收集有两个核心目的:API 发现和 API 流量分析。
API 发现 对于任何有效 API 安全计划来说都至关重要。更重要的是,持续的 API 发现是找到恶意 API 和僵尸 API 所必需的。
正如 OWASP 十大 API 安全风险中提到的那样,对漏洞和威胁进行 API 流量分析也很关键。与任何网络安全工作一样,安全产品需要查看正确的数据,以对其进行威胁分析。
进行有效 API 数据收集的四条建议
针对如何进行有效的 API 数据收集,我们的四条建议包括:
从覆盖范围广泛的有利位置开始
增加主要 API 监控堆栈的深度
清理 API 活动数据
迈出实现更有效的 API 发现和高级威胁检测的第一步
从覆盖范围广泛的有利位置开始
在设计 API 安全方法时,监测广度至关重要。如果您有一般标准化的 API 部署和管理流程,则可能会根据该标准流程而专注于 API 数据收集。但是,检测意外情况可以说是 API 安全策略中更关键的要素。
毕竟,与主堆栈上的新 API 相比,在已批准的流程外实施的恶意 API 和在遗留 API 堆栈上创建的被遗忘的影子 API 可能会带来更大的风险。应当确保,您的 API 数据收集机制能够让您通过持续发现找到 API。
在这个领域,流量监控和日志收集比基于主机的传感器更具优势。对来自网络中关键点的流量进行镜像并使用日志(例如, API 网关日志)显然可以实现广泛覆盖。只要您的 API 安全系统专为发现未经批准的 API 活动而设计,这种广泛覆盖就更有可能捕获这些活动。相比之下,大多数类型的基于主机的传感器(尤其是代码插桩)只能监测配备传感器的特定 API 主机的活动。
即使利用日志和流量监控实现了更广的监测范围,找到并消除盲点仍然很重要。 混合云 和 多云 环境中通常会有在许多不同位置流动的 API 流量,每个位置都必须单独访问。(我们稍后会在本博文的数据清理部分介绍如何让合规团队确信详细日志中的敏感数据已受到保护。)
增加主要 API 监控堆栈的深度
日志和流量数据可以有许多不同的来源。从覆盖范围的角度来看,从基础架构来源收集这些数据会有帮助,这些来源包括数据包代理、云平台、API 网关、容器和网格编排工具、代理、内容交付网络、 Web 应用程序防火墙和集中式日志平台等。
这些平台提供的覆盖范围非常适合于基线 API 发现。但在设计 API 数据收集方法时,还必须考虑数据的深度和保真度。
例如,假设您直接从 API 网关收集活动数据,您无法保证 API 网关日志会包含足够的详细信息来执行高级行为分析。例如,即使所有 HTTP 活动都已记录在日志中,请求和响应标头中的详细信息数量也可能存在差异。而且,消息有效负载等有用的数据可能会完全缺失,具体取决于供应商。
对于像 Akamai API Security 这样能够识别 API 活动中涉及的实体、整合业务背景并监控行为异常的平台而言,通过 API 流量镜像技术实现更高的数据保真度会非常有价值。
清理 API 活动数据
到目前为止,我们介绍的大部分内容都集中在尽可能广泛、深入地收集 API 活动数据上。这样做可以确保 API 发现和安全分析尽可能全面,并确保为抢先一步防范高级 API 威胁所需的各类行为分析奠定必要的基础。
因此,在允许安全服务供应商分析您的 API 活动之前,您必须要求他们证明,他们能够在数据离开您的本地或虚拟私有云环境之前对这些数据进行清理。
采用这种 云安全 模式能够保护您的敏感用户数据和知识产权,同时让您可以信心十足地允许供应商的传感器将高度精细的详细信息发送到云端进行分析。
迈出实现更有效的 API 发现和高级威胁检测的第一步
为您的企业找到理想的 API 数据收集技术,并确定如何权衡这些技术的利弊,这看似是一项艰巨的任务,实则不然。
Akamai 团队会在整个过程中提供指导,并确保将最新的最佳实践融入到您的安全方法中。阅读文章,了解 我们如何帮助 另一个 Akamai 客户完成此过程。
