EISS-2023 Imperva API 安全.pdf

1、议题API 经济一路狂飙API 接口流动数据成为最大风险隐患API 四位一体防护架构确保数据安全API 四位一体架构方案总结全球IT加速API在各领域的应用：物联网、开放银行、微服务、5G、云原生技术 传统经济是以钱为中心，人与人之间是唯利是图的社会关系 互联网经济是以人为中心，分享链接供需关系人人参与公平竞争 数字经济是以价值为中心，价值创造利润，爱心传递成人达己API 经济是利用互联网的Web API技术与经济模式结合产生了“API经济”随着 5G、物联网技术落地，人类正进入万物互联时代互联网 从 IaaS 到 PaaS、SaaS、DaaS 从 PC到移动 APP、各种IoT设备API经济

2、汹涌来袭应用接口爆炸式增长Amazon API让小型零售商在其电子商务平台开店,Amazon也因此增加了商品种类，提高了交易金额，之后在AWS公有云服务上也开放了 API阿里巴巴也是 API 经济的实践者，它旗下的天猫、淘宝、物流、支付等都有开放API供合作伙伴和客户生态使用API 的形态也随着技术的演进有了非常大的变化，新技术、新业务带来的防护难点数字化转型正在推动API使用量增加通信协议转变HTTPRESTGraphQLMQTTHTTP应用接入转变单体架构SOA架构微服务架构部署位置转变物理数据中心多云环境边缘应用程序技术栈的创新和现代化正在迅速使企业能够提供 API分散的技术生态系统过于

3、复杂，无法在不影响业务敏捷性的情况下保护 API安全团队努力跟上 API 的快速增长3.85倍每个客户的平均API数量9.69倍恶意API攻击流量激增Salt SecurityState of API Security Report,Q3 2022恶意API攻击流量激增，安全防护需求扩大路笑凡主任医师20年应用安全临床经验深受金融、电信、制造、能源等行业客户称赞独创“WAF五元组“观测与治疗手段疗效显著，手到病除青铜青铜IPS WAF/DAST SAST黄金黄金API DDoS BOT王者王者业务逻辑应用层攻击的发展趋势-云原生微服务接口安全API 接口流动数据成为最大风险隐患API 接口已经

4、成为数据泄露的主要途径API Vulnerabilities of XXXXXX API 案例分析漏洞为账户枚举行为违反了OWASP API Top 10中的三个漏洞应用未检查通过API请求的用户ID是否与登录用户为同一人，用户ID由从1开始的纯数字构成，攻击者可以枚举并检索用户的数据失效的对象级授权失效的用户身份认证过度的数据暴露资源缺失和速率限制失效的功能级授权批量分配安全配置错误注入资产管理不当日志和监控不足OWASP API Top 10API 四位一体防护架构确保数据安全不同API接口请求类型考虑安全部署架构模式DMZKubernetesInternalPublic API Non-

5、AuthenticatedPartner APIExternal API-AuthenticatedInternal API任何人都可以免费使用验证授权用户端从外部连接授权的外部开发人员或API使用者连接企业内用于连接业务内的系统和数据DataNetworkApplicationsAPIsDesktopMobile DevicesPartnersBotsExternal APIsInternal APIsMicroservices认证鉴权负载均衡路由限流配额熔断高性能API安全负载均衡服务发现DevOps自动化工作流监控和运营分析限速、熔断、容量API 安全数字化改造客户架构模型Microse

6、rvicesMicroservices建立在不同API接口灵活部署安全架构Imperva 四位一体防护架构确保数据安全在生产前测试和验证在生产前测试和验证API 的完整性的完整性验证验证检测检测识别可疑行为、错误配置识别可疑行为、错误配置所有旧所有旧API、现代现代API 和恶意和恶意API 的清单的清单发现发现动作动作发现发现验证验证检测检测动作动作实时缓解攻击实时缓解攻击API SecurityDataNetworkApplicationsAPIsDesktopMobile DevicesPartnersBotsExternal APIsIntern