文章來源 /Akamai Official Blog
現在,安全邊界的傳統概念比以往任何時候更頻繁在改變。這導致許多組織採用零信任架構 (ZTA) 的原則,其中許多原則側重於評估使用者信任並透過主要使用者介面管理對敏感網路、系統和資料的存取。
然而,許多ZTA計劃在設計持續評估信任的方法時,忽略了日益普遍的基於應用程式介面(API)存取敏感應用程式功能和資料。
在這篇文章中,我們將重點放在API和ZTA之間的一些關聯性。我們還將概述一些可用於擴充 ZTA 以包含 API 的初始步驟。
什麼是零信任?
2010 年,Forrester Research 向主流企業安全受眾介紹了 ZTA 的原則。自那時以來,Forrester 和眾多其他行業利益相關者(包括美國國家標準與技術研究院在 NIST 特別出版物 800-207 中)對 ZTA 設計進行了極大改進。
簡而言之,零信任假設預設情況下沒有使用者或裝置可以信任。相反,每次嘗試存取敏感資源時都應該接受評估,然後不斷評估。
多年來,ZTA更多地只是一個討論話題,而不是組織在現實世界中追求的目標。但受新冠肺炎 (COVID-19) 大流行的影響,全球工人紛紛返鄉,促使許多組織推動採用 ZTA 原則的具體計畫。
API 和零信任的關係是?
NIST SP 200-807 概述了ZTA的七個基本原則。 雖然這些原則不僅僅包含基於 API的應用程式功能和資料存取,但它們也與組織的 API 策略有非常明確的關聯性。
使用這7個步驟讓您的 API 也符合 ZTA 原則
對於大多數想要採用 ZTA 的組織來說,最大的挑戰之一是決定從哪裡開始。就API安全性而言,實施以下功能將對您的安全狀況產生直接影響,同時也為您將API安全性納入未來的ZTA計畫提供所需的基礎。
實作持續的 API 發現並維護所有 API 和 API 可存取資產的準確清單。
當發現未經核准的API時,請確保系統化的工作流程到位,將其納入管理或刪除。
無論API是公共的還是私有的,都實作完善的API驗證和授權。
從OWASP API安全 Top 10 開始,主動識別 API 漏洞作為一項持續的學科。
開發分析大型API流量資料集的功能,以確定正常行為的基線並執行異常檢測。
透過API整合實作時,將威脅和信任洞察饋送到ZTA策略引擎中。
當API漏洞、威脅和濫用行為出現時啟動自動回應。
