API 经济汹涌来袭应用接口爆炸式增长(概述) 什么是 API 经济,在经济学中的理解 API 等于功能或者业务。我们每个人每天的衣食住行都和 API 接口访问密不可分,比如每天的健康码查询、订餐、购物、天气都和 API 访问有着直接关系,所以 API 经济是利用互联网的 API 技术与经济模式组合产生了 API 经济。全球 IT 同时加速 API 在各领域的应用:物联网、开放银行、微服务、5G、云原生等技术,到2030年保守预估 API 全球接口数量为6亿。
微服务的采用-应用 是由几十个甚至数千个离散的服务组成的
持续性软件开发-越来越多的团队正在构建更多的 API,并快速发布和变更
混合部署架构-复杂的体系结构导致 API 分布在多个环境中
恶意 API 攻击流量激增,应用零信任接入需求扩大 (论点) Salt Security 研究部门 Salt Labs 的一份新报告发现,Salt Security 客户遭遇的 API 攻击流量在过去一年中增长了681%,与此同时整体 API 流量增长了321%。恶意 API 攻击流量的急剧增加导致生产延迟和对 API 安全策略缺乏信心,最终损害业务和创新。《2022年 F5 应用策略现状报告》通过大量拜访众多客户进行调研分析,得出 API 安全最先应该解决的问题是身份验证和授权,身份验证和授权就会涉及到 Token。如何可以做到 API 接入持续验证 Token 永不信任,如何解决最关键的病从口入核心问题,所以应用零信任接入控制为 API 安全第一道重要防线。 应用零信任接入控制(论据) API 经济下无论在应用开发、应用发布、应用数据共享时都被频繁使用,近年来 API 攻击也正成为主要的非法数据获取方法。在几类 API 攻击中最常见、危害最大的就是身份认证及授权问题,F5 Labs API 身份验证事件揭示了 API 认证和授权事件的三个常见原因:API 端点没有身份验证某全球餐饮零售应用未检查通过 API 请求的用户 ID 是否与登录 Token 为同一人,用户 ID 由从1开始的纯数字构成,攻击者可以枚举并检索用户的个人敏感信息数据 失效的 API 身份验证F5 Labs 报告中有这样一个例子:一名研究人员将几个 API 请求链接在一起,在一款移动应用上“赚取”了价值数十万美元的积分。该应用会持续生成令牌来防止滥用,却没有设置有效期,于是导致它们一遍又一遍地被利用 失效的 API 授权F5 Labs 报告还描述了一起事件:涉事的操作系统有一个 bug 允许对 API 发出恶意 HTTP 请求,让攻击者轻轻松松就能拿到授权令牌。一旦攻击者获得了此授权令牌,他们就拥有了管理员权限。 快速开始部署 F5 应用零信任接入解决方案 (论证) API 应用接入需要最少的特权访问,F5 API 接入零信任安全方案,可以更好的结合客户API 网关和 F5 接入控制管理组件相结合,实现对访问控制权限颗粒度精细化的策略,才能是真正 API 安全零信任解决方案。
