API接入零信任部署实践指南

1

应用零信任重点防护失效的对象级授权

实施数字化转型的公司有着明确的业务需求。这包括借助现代业务应用改善客户体验，采用敏捷实践以超越市场竞争对手，以及利用市场优势创造新的收入来源。新型应用架构不仅可提高开发效率，而且集容器、微服务和API于一体，可帮助满足这些需求。

对现代应用来说，安全性是现代应用敏捷性和上线时效性至关重要的一部分。企业已经开始考虑使用WAAP解决方案来应对API安全隐患，其中OWASP API Top 10是API安全的关键第一步防线，通过Salt Security《State of API Security Report,Q3 2022》报告，说明近一半用户安全团队都没有将OWASP API安全性前十列为重点领域，对于OWASP API TOP 1失效的对象级授权是防护的关键。

失效的对象就会涉及到ID和Token概念，ID和Token不得不提就是当今最为关注的零信任话题。

零信任可以分为两类，网络零信任接入和应用零信任接入：

·网络零信任Zero Trust Network Architecture

·应用零信任Zero Trust Application Access

网络零信任解决是接入网络时安全性，与应用零信任防护在不同的层级。举例说明；黑客拿着泄露了的用户名密码，或者利用业务系统漏洞，从办公网直接进来的攻击流量却防不胜防，这就是因为微隔离无法判断这些来自办公网的流量究竟是谁发起的，以及是否有权利有必要访问那些API业务系统。

所以对接入API应用系统需要持续性认证才能更好的防护ZTAA-Zero Trust Application Access。通过ZTAA要解决接入零信任，同时判断对象ID和Key Token的一致性，减少恶意发起对象枚举行为造成的数据泄露。

2

API应用接入控制流程

API安全访问流程：

·用户请求身份认证到IdP（Identity Provider）身份提供

·通过认证颁发令牌给用户

·用户携带令牌访问External APIs应用接口

·External接口转发请求到Internal APIs接口

通过访问流程对应关系，安全加固需要在External APIs和Internal APIs做到API接入持续验证，永不信任，确保接入应用的安全性。

3

F5 API应用接入控制流程

F5 API安全访问流程：

·用户请求身份认证到IdP（Identity Provider）身份提供

·通过认证颁发令牌给用户

·用户携带令牌访问External APIs应用接口

·通过F5 APM（Access Policy Manage）接入策略管理功能或LTM Add-on APM模块，实现接入属性控制策略和重新签发内部识别的JWT令牌

·External接口转发请求到Internal APIs接口

·微服务接口使用NGINX对JWT令牌中的属性值执行接入控制策略

F5在External APIs和Internal APIs做到API接入持续验证，永不信任，可以实现对接入控制权限限制，其中可以包括地位位置、URL、部门信息、情报信息，作为验证的属性阀值，保证接入应用的安全性。

4

失效的对象级授权最佳实践解决方案

1.用户请求身份认证到IdP（Identity Provider）身份提供，为认证用户分配GUID，并且可以通过JWT Claim添加更多的声明属性，比如地理位置、部门、用户ID等信息在JWT Token，上述案例描述Claim包括userID LU信息id=4079a01-d87w1-7682-02ha

2.用户携带令牌和URL访问External APIs应用接口，并且URL标识用户请求的ID

3.通过对外API F5 BIG-IP APM可以执行访问控制检查，比较JWT的UserID和URL参数中的ID是否一致性，BIG-IP APM允许请求并将其转发到API端点，否则拒绝请求

4.对于微服务内部API接口，可以通过NGINX可以执行访问控制检查，比较JWT的UserID和URL参数中的ID是否一致性，否则拒绝请求

当您对API流量实施身份验证时，成功证明其身份的客户端会从受信任的身份提供商那里获得令牌，然后客户端再为每个HTTP请求提供访问令牌。

在将请求传递给应用之前，通过APM或者NGINX Plus会验证令牌并提取在令牌中编码的身份和其他数据（例如组成员资格），以确保对客户端进行身份验证和授权。

令牌得到验证并且客户端获得访问资源的授权后，请求就会被传递到应用服务器。验证方法有很多种，其中使用OpenID Connect（基于OAUTH 2.0协议构建）是一种流行的做法，它可以对API请求进行第三方身份验证。

5

总结

没有应用零信任就没有真正的API安全，病从口入API安全第一道防线是加固API接入控制，通过API接入零信任部署实践指南，更多理解F5 OWASP API TOP 1失效的对象级授权解决方案。

相关推荐: 小米印度总裁：小米将专注于提振其零售业绩小米印度总裁：小米将专注于提振其零售业绩

7月17日消息，小米印度总裁穆拉里什南（Muralikrishnan B）表示，在经历多年对电商平台的押注后，小米将专注于提振其零售业绩，寻求重振落后于三星的智能手机销售。 据媒体报道称，随着近年来亚马逊、沃尔玛等电商平台的发展，小米在拥有6亿智能手机用户的印…