Skip to content

API 接入零信任部署实践指南

API 接入零信任部署实践指南

1

 应用零信重点防护失效的对象级授权

实施数字化转型的公司有着明确的业务需求。这包括借助现代业务应用改善客户体验,采用敏捷实践以超越市场竞争对手,以及利用市场优势创造新的收入来源。新型应用架构不仅可提高开发效率,而且集容器、微服务和 API 于一体,可帮助满足这些需求。

对现代应用来说,安全性是现代应用敏捷性和上线时效性至关重要的一部分。企业已经开始考虑使用 WAAP 解决方案来应对 API 安全隐患,其中 OWASP API Top 10 是 API 安全的关键第一步防线,通过 Salt Security《State of API Security Report, Q3 2022》报告,说明近一半用户安全团队都没有将 OWASP API 安全性前十列为重点领域,对于 OWASP API TOP 1 失效的对象级授权是防护的关键。

失效的对象就会涉及到 ID 和 Token 概念,ID 和 Token 不得不提就是当今最为关注的零信任话题。


零信任可以分为两类,网络零信任接入和应用零信任接入:

  • 网络零信任  Zero Trust Network Architecture

  • 应用零信任  Zero Trust Application Access

网络零信任解决是接入网络时安全性,与应用零信任防护在不同的层级。举例说明;黑客拿着泄露了的用户名密码,或者利用业务系统漏洞,从办公网直接进来的攻击流量却防不胜防,这就是因为微隔离无法判断这些来自办公网的流量究竟是谁发起的,以及是否有权利有必要访问那些 API 业务系统。

所以对接入 API 应用系统需要持续性认证才能更好的防护 ZTAA – Zero Trust Application Access。通过 ZTAA 要解决接入零信任,同时判断对象 ID 和 Key Token 的一致性,减少恶意发起对象枚举行为造成的数据泄露。

2

 API 应用接入控制流程

API 安全访问流程:

用户请求身份认证到 IdP(Identity Provider)身份提供

通过认证颁发令牌给用户

用户携带令牌访问 External APIs 应用接口

External 接口转发请求到 Internal APIs 接口

通过访问流程对应关系,安全加固需要在 External APIs 和 Internal APIs 做到 API 接入持续验证,永不信任,确保接入应用的安全性。

3

 F5 API 应用接入控制流程

F5 API 安全访问流程:

用户请求身份认证到 IdP(Identity Provider)身份提供

通过认证颁发令牌给用户

用户携带令牌访问 External APIs 应用接口

通过 F5 APM(Access Policy Manage)接入策略管理功能或 LTM Add-on APM 模块,实现接入属性控制策略和重新签发内部识别的 JWT 令牌

External 接口转发请求到 Internal APIs 接口

微服务接口使用 NGINX 对 JWT 令牌中的属性值执行接入控制策略

F5 在 External APIs 和 Internal APIs 做到 API 接入持续验证,永不信任,可以实现对接入控制权限限制,其中可以包括地位位置、URL、部门信息、情报信息,作为验证的属性阀值,保证接入应用的安全性。

4

 失效的对象级授权最佳实践解决方案

  1. 用户请求身份认证到 IdP(Identity Provider)身份提供,为认证用户分配 GUID,并且可以通过 JWT Claim 添加更多的声明属性,比如地理位置、部门、用户 ID 等信息在 JWT Token,上述案例描述 Claim 包括 userID LU 信息 id=4079a01-d87w1-7682-02ha

  2. 用户携带令牌和URL访问 External APIs 应用接口,并且 URL 标识用户请求的 ID

  3. 通过对外 API F5 BIG-IP APM 可以执行访问控制检查,比较 JWT的 UserID 和 URL 参数中的 ID 是否一致性,BIG-IP APM 允许请求并将其转发到 API 端点,否则拒绝请求

  4. 对于微服务内部 API 接口,可以通过 NGINX 可以执行访问控制检查,比较 JWT 的 UserID 和 URL 参数中的 ID 是否一致性,否则拒绝请求

当您对 API 流量实施身份验证时,成功证明其身份的客户端会从受信任的身份提供商那里获得令牌,然后客户端再为每个HTTP 请求提供访问令牌。

在将请求传递给应用之前,通过 APM或者 NGINX Plus 会验证令牌并提取在令牌中编码的身份和其他数据(例如组成员资格),以确保对客户端进行身份验证和授权。

令牌得到验证并且客户端获得访问资源的授权后,请求就会被传递到应用服务器。验证方法有很多种,其中使用 OpenID Connect(基于 OAUTH 2.0 协议构建)是一种流行的做法,它可以对 API 请求进行第三方身份验证。

相关推荐: 【韩国本土店】华人在韩国注册公司常见形式及流程介绍

图片来源:图虫创意 一、中国人在韩国注册公司,常见的形式有两种: 1、成立驻韩代表处或分公司,公司名称为 “AA公司驻韩代表处”,或“AA公司驻韩办事处”成立代表处的优点是无须验资,可使用第三方地址服务,适合提升公司或企业形象,在韩国开展市场调查业务;局限性在…

    码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.

    电子商务网站建设的重要性和好处