【51CTO.com快譯】如今，應(yīng)用程序編程接口(API)已經(jīng)變得非常流行了。各個(gè)企業(yè)的應(yīng)用開發(fā)都深度依賴于它們之間的相互調(diào)用，以支持新產(chǎn)品和服務(wù)的按時(shí)交付。與此同時(shí)，隨著API絕對(duì)數(shù)量的增加，在互聯(lián)網(wǎng)絡(luò)上傳遞的數(shù)據(jù)量也正在呈指數(shù)級(jí)地增長(zhǎng)。

不過(guò)，這些海量數(shù)據(jù)中，往往會(huì)包括諸如：用戶詳細(xì)信息、電子郵件、以及密碼等敏感且隱私的數(shù)據(jù)。例如：通過(guò)使用Facebook的某些API(請(qǐng)參見：https://developers.facebook.com/docs/graph-api/)，您完全可以訪問(wèn)到大量用戶的照片、位置之類詳細(xì)的信息。由于網(wǎng)絡(luò)世界用戶之間的不可見性，這些敏感數(shù)據(jù)很有可能會(huì)被非法分子用于多種惡意的用途。因此，我們?cè)谌粘５膽?yīng)用開發(fā)過(guò)程中，應(yīng)當(dāng)時(shí)刻專注API的安全性，通過(guò)安全編碼等技術(shù)手段，構(gòu)建出安全可靠的程序API。

API安全性日益受到關(guān)注

根據(jù)SmartBear最近進(jìn)行的一項(xiàng)研究顯示(該研究發(fā)布了API現(xiàn)狀報(bào)告，請(qǐng)參見：

https://smartbear.com/resources/ebooks/the-state-of-api-2019-report/)：

• 在受訪并給予回應(yīng)的對(duì)象中，有41.2%的人認(rèn)為：安全性是他們的API所面對(duì)的最大技術(shù)問(wèn)題，而且是當(dāng)務(wù)之急。他們希望在自己的軟件產(chǎn)品中不要出現(xiàn)與API安全性相關(guān)的漏洞。
• 在被普遍認(rèn)為需要改善和提高的API相關(guān)領(lǐng)域，安全性排名第四。
• 有超過(guò)40%的API提供者會(huì)使用某種工具，來(lái)獲悉當(dāng)前API的安全態(tài)勢(shì)。他們希望能夠快速且全面地發(fā)現(xiàn)潛在的安全漏洞。

目前，API技術(shù)已經(jīng)滲透到了各個(gè)行業(yè)，乃至各種業(yè)務(wù)策略的制定環(huán)節(jié)。其中，最為常見的API當(dāng)屬REST、SOAP、以及ASYNC API。另外，隨著物聯(lián)網(wǎng)的迅速發(fā)展，全新的智能化API也在不斷地涌現(xiàn)。這些API充當(dāng)了智能設(shè)備和互聯(lián)網(wǎng)之間的接口作用。那么，到底API是如何做業(yè)務(wù)趨勢(shì)以及深度融合發(fā)揮作用的呢?通過(guò)如下三個(gè)方面，我們可窺一斑：

• 為了讓客戶獲得更好的服務(wù)體驗(yàn)，銀行機(jī)構(gòu)正在采用、甚至遷移到API式的敏捷模型中，以實(shí)現(xiàn)高效、強(qiáng)適應(yīng)性的金融安全架構(gòu)。
• 醫(yī)療保健行業(yè)的從業(yè)人員通過(guò)各種可用的AP​​I，向患者和客戶提供集成化的醫(yī)療保健服務(wù)，并能提高自身產(chǎn)品的互操作性。
• 零售商正在使用API​​為其客戶提供更加智能化的電子商務(wù)平臺(tái)，例如：多元化的移動(dòng)支付應(yīng)用等。

API安全性的當(dāng)前狀態(tài)

當(dāng)前，在互聯(lián)網(wǎng)上，每天通過(guò)各種API傳輸?shù)拇罅繑?shù)據(jù)可謂是魚龍混雜。有的是一些公眾性的普通數(shù)據(jù)，有的則是需要通過(guò)加密的機(jī)密性數(shù)據(jù)。因此，應(yīng)用開發(fā)與維護(hù)人員需要和那些看不見的隱形對(duì)手進(jìn)行攻防較量，以確保提前揪出軟件產(chǎn)品中的各種漏洞。總的說(shuō)來(lái)，API的安全性隱患主要集中在如下三個(gè)方面：

• 授權(quán)、認(rèn)證與審核機(jī)制(一般通過(guò)訪問(wèn)控制來(lái)應(yīng)對(duì))。
• 訪問(wèn)量的負(fù)載平衡和速率限制。
• 通信和網(wǎng)絡(luò)中的數(shù)據(jù)隱私問(wèn)題(一般通過(guò)SSL/TLS來(lái)應(yīng)對(duì))。

API的安全展望

根據(jù)本人的開發(fā)與項(xiàng)目實(shí)施經(jīng)驗(yàn)，我大膽地對(duì)API的安全性趨勢(shì)做出了如下展望，可供您參考與借鑒。

1. DNS安全性(DNSSEC)

在人們運(yùn)用移動(dòng)設(shè)備訪問(wèn)各類APP的時(shí)候，大多數(shù)信息都是以未加密的方式，通過(guò)無(wú)線網(wǎng)絡(luò)進(jìn)行往復(fù)傳輸?shù)模虼怂鼈兒苋菀资艿浇孬@甚至是攻擊。我們需要通過(guò)設(shè)置SSL或TLS的連接方式，來(lái)確保傳輸數(shù)據(jù)的安全性。當(dāng)前，最新的TLS版本為1.3，而大多數(shù)網(wǎng)站也都能夠通過(guò)API的設(shè)計(jì)，以HTTPS的方式去加密用戶的各類敏感信息。

同時(shí)，由于幾乎所有的網(wǎng)絡(luò)流量都需要進(jìn)行標(biāo)準(zhǔn)的DNS查詢，因此DNS成為了眾矢之的，針對(duì)DNS的劫持和中間人攻擊時(shí)有發(fā)生。此類攻擊通過(guò)將網(wǎng)站的入向流量，重定向到偽造的網(wǎng)站處，進(jìn)而收集到網(wǎng)站用戶的敏感信息，并讓企業(yè)蒙受損失。

與許多互聯(lián)網(wǎng)協(xié)議相同，DNS系統(tǒng)在設(shè)計(jì)之初也并未考慮到安全性的相關(guān)問(wèn)題，并且存在著一些設(shè)計(jì)上的限制。而這些限制在面對(duì)技術(shù)的快速迭代時(shí)，就留下了可乘之機(jī)。攻擊者很容易出于惡意目的去劫持DNS的查找請(qǐng)求。例如，他們會(huì)將用戶轉(zhuǎn)發(fā)到分發(fā)惡意軟件、或收集個(gè)人信息的欺詐性網(wǎng)站上。

下面是DNS劫持的具體流程：

在上述DNS劫持過(guò)程中，攻擊者通過(guò)惡意軟件、或是對(duì)某些未授權(quán)DNS服務(wù)器的修改，來(lái)將查詢請(qǐng)求重定向到持有其他域名的服務(wù)器上。也就是說(shuō)，您本想訪問(wèn)www.mybank.com，卻實(shí)際上來(lái)到了www.notmybank.com，而且自己渾然不知。

DNS安全擴(kuò)展(DNSSEC，

https://dzone.com/refcardz/introduction-to-dns-security?chapter=1)是針對(duì)此類問(wèn)題而創(chuàng)建的安全協(xié)議。DNSSEC協(xié)議通過(guò)對(duì)數(shù)據(jù)進(jìn)行數(shù)字簽名來(lái)保護(hù)其有效性，并防止其受到攻擊。為了確保實(shí)現(xiàn)安全的DNS查找，此類簽名必須在DNS查找過(guò)程的每個(gè)順序級(jí)別上進(jìn)行。

2. 聚焦安全的API設(shè)計(jì)

一提到安全，人們往往想到的是復(fù)雜性、甚至是不便。因此，API設(shè)計(jì)的易用性和可擴(kuò)展性，才是吸引API開發(fā)人員、乃至用戶的關(guān)鍵戰(zhàn)略秘訣。在實(shí)踐中，當(dāng)您開始著手為某個(gè)微服務(wù)構(gòu)建公開的API時(shí)，就應(yīng)該認(rèn)真考慮如何設(shè)計(jì)API的安全性。

只有在設(shè)計(jì)之初融入了安全性，特別是用戶隱私方面的管控，才能節(jié)省后續(xù)補(bǔ)救與整改的時(shí)間和資源。業(yè)界著名的RestCase API平臺(tái)正是通過(guò)各種AI和復(fù)雜的算法，以方便用戶在設(shè)計(jì)階段去檢查和驗(yàn)證自己的API。同時(shí)，它能夠給出如何處置API安全性方面的各種建議。

3. 人工智能(AI)驅(qū)動(dòng)的API安全性

目前，在不同的行業(yè)，開發(fā)人員通過(guò)將系統(tǒng)的API與海量的數(shù)據(jù)相集成，在計(jì)算機(jī)視覺(jué)、空間位置、嵌入式應(yīng)用、Web網(wǎng)格、移動(dòng)文本數(shù)據(jù)、以及自然語(yǔ)言處理等領(lǐng)域，得到了很好的商業(yè)智能化應(yīng)用，和對(duì)發(fā)展趨勢(shì)的預(yù)判。通過(guò)對(duì)于不同實(shí)時(shí)數(shù)據(jù)源的持續(xù)檢測(cè)與分析，各類應(yīng)用具備了更快、更智能的響應(yīng)能力。

與此同時(shí)，我們應(yīng)該利用好豐富的數(shù)據(jù)資源，運(yùn)用AI相關(guān)的趨勢(shì)分析能力，對(duì)于調(diào)用API的流量進(jìn)行深度分析，進(jìn)而偵測(cè)到各種歷史攻擊與異常，并通過(guò)自動(dòng)化的修補(bǔ)措施，以防止后續(xù)攻擊的再次發(fā)生。例如，某些針對(duì)特定API的DoS攻擊源，會(huì)在網(wǎng)絡(luò)中掃描并攻擊那些設(shè)計(jì)方案欠佳，且未對(duì)訪問(wèn)請(qǐng)求實(shí)施流速限制的API。有時(shí)候，某些API節(jié)點(diǎn)會(huì)在算力(computation)上非常消耗資源。例如：那些需要通過(guò)哈希算法來(lái)進(jìn)行身份驗(yàn)證的邏輯。因此，一些經(jīng)驗(yàn)豐富的攻擊者，經(jīng)常會(huì)有目的性地利用并向此類節(jié)點(diǎn)發(fā)送垃圾郵件，以拖垮或破壞整個(gè)系統(tǒng)。

4. 機(jī)器學(xué)習(xí)(ML)驅(qū)動(dòng)的API安全性

如果說(shuō)AI主要是用于對(duì)攻擊進(jìn)行智能判斷的話，那么ML則主要能夠用于提取威脅的特征。通過(guò)開發(fā)帶有ML功能的智能API，運(yùn)維人員能夠有效地管理各種具有挑戰(zhàn)性和新出現(xiàn)的威脅模型。運(yùn)用此類API的安全性，我們將能夠更加準(zhǔn)確地識(shí)別和標(biāo)記出各種異常行為，判斷出惡意攻擊的發(fā)展趨勢(shì)，以及識(shí)別和阻止在多種環(huán)境、及情況下針對(duì)API的攻擊行為模式。可以說(shuō)，有了持續(xù)學(xué)習(xí)功能對(duì)于API的加持，我們便可以在無(wú)法預(yù)知攻擊源、以及預(yù)設(shè)應(yīng)對(duì)策略的情況下，及時(shí)識(shí)別出正在發(fā)生的異常行為。

目前，廣泛用于各種API安全方面的機(jī)器學(xué)習(xí)算法，包括：樸素貝葉斯、KNN最近鄰(K-Nearest Neighbors)、決策樹、隨機(jī)森林、支持向量機(jī)、深度學(xué)習(xí)、以及神經(jīng)網(wǎng)絡(luò)等。

總結(jié)

隨著現(xiàn)代化技術(shù)的日新月異，API安全性已日漸成為了網(wǎng)絡(luò)應(yīng)用方面的主要技術(shù)需求之一。目前，AI和ML作為有效且智能的工具，已經(jīng)逐漸被應(yīng)用到了協(xié)議棧的各個(gè)層面上，以實(shí)現(xiàn)API的全棧安全防護(hù)。當(dāng)然，就下一步發(fā)展趨勢(shì)來(lái)看，開發(fā)人員需要進(jìn)一步加大對(duì)于API業(yè)務(wù)模型、分析能力、技術(shù)藍(lán)圖、以及合規(guī)性與標(biāo)準(zhǔn)化方面的深入研究與開發(fā)。

原文標(biāo)題：State of API Security，作者：Guy Levin

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】