Zero Trust 环境中的 API 安全

1.“所有数据源和计算服务都被视为资源。”

ZTA 范围内的许多应用程序和数据源除了直接通过用户界面访问，还可通过 API 访问。因此，ZTA 评估和策略执行模式应将 API 接口包括在内。

2.“无论网络位置如何，所有通信均受到保护。”

即使 API 仅供私有数据中心或云环境内部使用，也应该像供外部使用一样实施加密、身份验证和授权管理，以确保数据的机密性和完整性。

3.“基于每个会话授予访问单个企业资源的权限。”

在授予对 API 资源的访问权限之前应该进行信任评估。在授予访问权限时应授予尽可能最少的权限。通过行为分析来监控 API 使用情况，并持续进行信任评估。

4.“对资源的访问取决于动态策略（包括客户身份、应用程序/服务和所请求资产的可观察状态），并且可能包括其他行为和环境属性。”

要将 ZTA 应用于 API，您必须能够识别所涉及的实体、推断业务背景，并通过行为分析来识别与正常使用模式的偏差。

值得注意的一个行为属性是通过快速 API 调用导致拒绝服务。

正因如此，缺乏 API 速率限制 被归类为“无限制访问敏感业务流”（详见 开放全球应用程序安全项目 (OWASP) 十大 API 安全漏洞）。正如 NIST 所指出的，“这些规则和属性基于的是业务流程的需要及可接受的风险水平。”

5.“企业监控和检测所有自有资产和相关资产的完整性和安全状况。”

此要求是基于 美国网络安全和基础设施安全局 (CISA) 所定义的持续诊断和处置 (CDM) 概念。CDM 包括资产管理、漏洞管理以及配置/设置管理等元素。

就像对待实体资产一样， 企业必须对 API 进行持续的发现、分类和跟踪。同样，持续的漏洞评估也不应该局限于传统网络和 应用程序安全 漏洞，还应该包括可能存在的基于 API 的漏洞。

6.“所有资源的身份验证和授权都是动态的，并且在允许访问之前严格执行。”

这个概念可以而且应该扩展到 API。采用 ZTA 的企业应持续监控 API 使用情况，并在经过身份验证和授权的 API 流量中检测到异常或滥用行为时，利用自动化技术（例如阻止、限制、撤销凭据）做出响应。

7.“企业尽可能多收集关于资产、网络基础架构和通信当前状态的信息，并利用这些信息来改善安全状况。”

API 安全措施必须能够在较长时间内捕获数据。理想情况下，应该有足够的时间来检测不易察觉的 API 滥用，才能成为 ZTA 的有效组成部分。

这种精细程度对于实施行为分析以进行实时风险评估和 ZTA 设计的持续改进是必要的。这包括向威胁搜寻者提供对 API 和威胁数据的按需访问权限，以用于识别潜在的策略改进空间。此外还应该纳入团队使用的开发和运维工具及工作流，来创建类似的集成点。