云原生概念從2013年就已經(jīng)提出了，最近幾年該技術(shù)發(fā)展迅猛，標(biāo)準(zhǔn)到實(shí)踐相對(duì)更加成熟。對(duì)企業(yè)來(lái)說(shuō)云原生是一種既能夠省成本，又能夠提升效率，還能增強(qiáng)穩(wěn)定性的一種架構(gòu)，同時(shí)云原生還能夠很好跟人工智能和大數(shù)據(jù)等上層技術(shù)、新應(yīng)用相結(jié)合。但云原生技術(shù)帶來(lái)其獨(dú)到的優(yōu)勢(shì)之余，其本身架構(gòu)的變革也引入了新的安全風(fēng)險(xiǎn)。

　　11月16日下午，由中國(guó)信息通信研究院主辦，云原生安全實(shí)驗(yàn)室承辦的“原”動(dòng)力第8期—云原生 API 安全治理沙龍于線上成功舉辦。本次沙龍邀請(qǐng)到多位行業(yè)專家與業(yè)界頂尖廠商，共同探討云原生 API 安全治理的防護(hù)思路、研究成果和發(fā)展趨勢(shì)。

　　中國(guó)信通院云大所云計(jì)算部高級(jí)業(yè)務(wù)主管杜嵐在沙龍活動(dòng)中分享指出，根據(jù)信通院持續(xù)調(diào)研顯示，安全性已經(jīng)連續(xù)兩年成為企業(yè)用戶云原生化的最大顧慮，而在企業(yè)內(nèi)部，云原生安全領(lǐng)域的能力建設(shè)剛剛起步，20%的用戶云原生環(huán)境沒(méi)有任何安全防護(hù)?！霸圃陌踩ㄔO(shè)是原生化轉(zhuǎn)型的必備項(xiàng)能力，目前，企業(yè)一側(cè)更多是具備一些容器安全或者應(yīng)用安全的單點(diǎn)防護(hù)能力。”

　　據(jù)介紹，信通院云大所在云原生安全領(lǐng)域做了很多相關(guān)工作，在政策支撐和產(chǎn)業(yè)研究方面，其全面支撐了國(guó)家部委的相關(guān)政策文件的制定，如《企業(yè)上云用云實(shí)施指南（2022）》，在云原生安全產(chǎn)業(yè)研究方面，包括19年發(fā)布的《云原生技術(shù)實(shí)踐白皮書(shū)》，20年發(fā)布的《云原生產(chǎn)業(yè)發(fā)展白皮書(shū)》，21年發(fā)布的《云原生架構(gòu)安全白皮書(shū)》和《中國(guó)云原生用戶調(diào)查報(bào)告》。在今年，機(jī)構(gòu)推進(jìn)了《云原生安全趨勢(shì)洞察》和《中國(guó)云原生安全用戶調(diào)查報(bào)告》。

　　在平臺(tái)搭建和生態(tài)建設(shè)方面，信通院在2020年成立了云原生安全工作組，在今年6月份，機(jī)構(gòu)聯(lián)合清華大學(xué)和騰訊云發(fā)起成立了云原生安全實(shí)驗(yàn)室，實(shí)驗(yàn)室匯聚了眾多行業(yè)頂尖專家學(xué)者，實(shí)驗(yàn)室成員單位已近40家，共同開(kāi)展云原生安全標(biāo)準(zhǔn)制定，技術(shù)合作、平臺(tái)工具建設(shè)、產(chǎn)業(yè)研究，行業(yè)交流等等工作。

　　在標(biāo)準(zhǔn)和評(píng)估體系建設(shè)方面，信通院從19年開(kāi)始牽頭制定了包括國(guó)內(nèi)首個(gè)容器安全的標(biāo)準(zhǔn)制定，至今已經(jīng)建立了相對(duì)完善的云原生安全標(biāo)準(zhǔn)評(píng)估體系，包括《云原生能力成熟度 第3部分：架構(gòu)安全》、《基于容器的平臺(tái)安全能力要求》、《云原生安全能力要求 第1部分：API 安全治理》、《云原生應(yīng)用保護(hù)平臺(tái)（CNAPP）能力要求》，以及推進(jìn)當(dāng)中的《云原生托管服務(wù)（MSS）能力要求》等云原生安全標(biāo)準(zhǔn)。

　　《云原生安全能力要求 第1部：API 安全治理》

　　標(biāo)準(zhǔn)解讀

　　對(duì)應(yīng)沙龍活動(dòng)內(nèi)容，杜嵐重點(diǎn)分享了《云原生安全能力要求 第1部：API 安全治理》標(biāo)準(zhǔn)制定的相關(guān)情況，這項(xiàng)標(biāo)準(zhǔn)在2021年12月9日中國(guó)信息通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）TC1 WG5的第19次工作組會(huì)議上成功立項(xiàng)，目前經(jīng)過(guò)五輪研討已形成標(biāo)準(zhǔn)征求意見(jiàn)稿。

　　另?yè)?jù)了解，參與該標(biāo)準(zhǔn)編制的企業(yè)包括阿里云、騰訊云、華為云、瑞數(shù)信息、星闌科技、中移信息、用友網(wǎng)絡(luò)、新華三、小佑科技、青藤云、天融信、懸鏡安全、百度、中移云能、安易科技等（排名不分先后）。

　　杜嵐指出，云原生化之后，從基礎(chǔ)架構(gòu)層、到微服務(wù)業(yè)務(wù)層都會(huì)有很多標(biāo)準(zhǔn)或非標(biāo)準(zhǔn)的 API，即充當(dāng)外部與應(yīng)用的訪問(wèn)入口，也充當(dāng)應(yīng)用內(nèi)部服務(wù)間的訪問(wèn)入口。這項(xiàng)標(biāo)準(zhǔn)的制定背景即對(duì)應(yīng)了云原生化的 API 數(shù)量的急劇增加、調(diào)用頻繁復(fù)雜、攻擊面擴(kuò)大等風(fēng)險(xiǎn)。標(biāo)準(zhǔn)將適用于指導(dǎo)用云企業(yè)構(gòu)建 API 安全治理能力，適用于規(guī)范相關(guān)云平臺(tái)、安全產(chǎn)品及解決方案的能力水平與服務(wù)質(zhì)量。

　　《云原生安全能力要求 第1部：API 安全治理》劃分了六大標(biāo)準(zhǔn)框架，分為 API 資產(chǎn)管理、API 風(fēng)險(xiǎn)評(píng)估、API 權(quán)限控制、API 安全監(jiān)測(cè)、API 安全響應(yīng)以及審計(jì)與溯源。

　　01 API 資產(chǎn)管理：API 資產(chǎn)可視可管是云應(yīng)用 API 安全治理的基礎(chǔ)。API 資產(chǎn)管理能力設(shè)計(jì)應(yīng)能夠自動(dòng)化覆蓋存量及增量業(yè)務(wù)的 API，同時(shí)能夠從不同視角對(duì)資產(chǎn)進(jìn)行管理。

　　其中 API 資產(chǎn)管理能力分為三個(gè)子項(xiàng)能力，分別是 API 資產(chǎn)發(fā)現(xiàn)、敏感數(shù)據(jù)識(shí)別、統(tǒng)一管理。三大章節(jié)所要解決的問(wèn)題核心是 API 資產(chǎn)的多源發(fā)現(xiàn)和統(tǒng)一可視化管理，并且強(qiáng)調(diào)了應(yīng)以數(shù)據(jù)角度對(duì) API 進(jìn)行分類管理，避免潛在的數(shù)據(jù)泄露事件發(fā)生。

　　02 API 風(fēng)險(xiǎn)評(píng)估：應(yīng)根據(jù)API攻擊面及業(yè)務(wù)需要建立不同維度的 API 威脅識(shí)別、風(fēng)險(xiǎn)評(píng)估能力，在 API 資產(chǎn)被攻擊之前主動(dòng)進(jìn)行安全檢測(cè)，收斂攻擊面、降低 API 整體防護(hù)成本。包含風(fēng)險(xiǎn)的檢測(cè)、評(píng)估以及修復(fù)（建議）等。

　　API 風(fēng)險(xiǎn)評(píng)估同樣分為三個(gè)子項(xiàng)能力，分別是脆弱性評(píng)估、業(yè)務(wù)邏輯漏洞檢測(cè)、應(yīng)用漏洞檢測(cè)，對(duì)應(yīng)了 API 設(shè)計(jì)或配置不當(dāng)?shù)仍虍a(chǎn)生的安全風(fēng)險(xiǎn)、API 因業(yè)務(wù)邏輯設(shè)計(jì)不當(dāng)產(chǎn)生的安全風(fēng)險(xiǎn)、及中間件 API 漏洞、Web API 漏洞、業(yè)務(wù) API 代碼漏洞等風(fēng)險(xiǎn)。

　　03 API 權(quán)限控制：面向云原生平臺(tái)及應(yīng)用 API 訪問(wèn)的認(rèn)證、鑒權(quán)和安全控制。

　　權(quán)限管理、訪問(wèn)控制、安全通信是 API 權(quán)限控制的三個(gè)子項(xiàng)能力，權(quán)限管理對(duì)應(yīng) API 細(xì)粒度的訪問(wèn)權(quán)限設(shè)置，包括資源操作的權(quán)限，面向用戶的權(quán)限和面向服務(wù)的權(quán)限，以及對(duì)權(quán)限全生命周期的管理和一些權(quán)限策略的建議生成。訪問(wèn)控制對(duì)應(yīng)通過(guò)多種認(rèn)證和鑒權(quán)的方式，去防止 API 資源不被惡意篡改和濫用。安全通信強(qiáng)調(diào) API 通信數(shù)據(jù)的機(jī)密性和完整性，如利用通信加密方式。

　　04 API 安全監(jiān)測(cè)：對(duì) API 交互過(guò)程中的運(yùn)行狀態(tài)、交互行為和數(shù)據(jù)流進(jìn)行監(jiān)測(cè)，發(fā)現(xiàn) API 安全攻擊和異常行為。

　　API運(yùn)行狀態(tài)監(jiān)測(cè)、安全攻擊檢測(cè)、數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)、異常行為識(shí)別是 API 安全監(jiān)測(cè)的四個(gè)子項(xiàng)能力，API 運(yùn)行狀態(tài)監(jiān)測(cè)包括 API 響應(yīng)時(shí)長(zhǎng)、訪問(wèn)狀態(tài)、異常流量和接口訪問(wèn)合規(guī)性等。安全攻擊檢測(cè)能力要求對(duì) API 請(qǐng)示流量進(jìn)行識(shí)別，檢測(cè)流量中的惡意代碼，識(shí)別針對(duì) API 接口的安全攻擊行為。數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)能力需要對(duì) API 流量交互中的數(shù)據(jù)流轉(zhuǎn)進(jìn)行監(jiān)測(cè)，從而識(shí)別數(shù)據(jù)流轉(zhuǎn)中的敏感信息。異常行為識(shí)別方面要求對(duì) API 接口的訪問(wèn)行為進(jìn)行分析、識(shí)別，利用行為模型學(xué)習(xí)構(gòu)建檢測(cè)異常。

　　05 API 安全響應(yīng)&審計(jì)與溯源：發(fā)現(xiàn)攻擊和異常后的響應(yīng)能力，以及事后的審計(jì)溯源能力。

　　在 API 安全響應(yīng)方面，標(biāo)準(zhǔn)要求建立精細(xì)的響應(yīng)策略和豐富的響應(yīng)手段，同時(shí)強(qiáng)調(diào)對(duì)敏感數(shù)據(jù)的阻斷脫敏、分級(jí)分類管制、以及與第三方數(shù)據(jù)安全產(chǎn)品之間的開(kāi)放性與可擴(kuò)展性。溯源審計(jì)和溯源方面，標(biāo)準(zhǔn)要求首先要面向 API 日志的采集與審計(jì)分析，同時(shí)還有安全事件的工具溯源分析。由于 API 獨(dú)立的攻擊溯源能力是有限的，所以標(biāo)準(zhǔn)更多強(qiáng)調(diào)的是和其他威脅情報(bào)或安全產(chǎn)品的關(guān)聯(lián)分析和聯(lián)合態(tài)勢(shì)處置等。

　　據(jù)悉，信通院后續(xù)會(huì)持續(xù)完善云原生安全標(biāo)準(zhǔn)評(píng)估體系。

　　云原生環(huán)境 API 安全治理實(shí)踐分享

　　應(yīng)深入業(yè)務(wù)不斷進(jìn)行優(yōu)化策略調(diào)整

　　瑞數(shù)信息技術(shù)總監(jiān)吳劍剛在沙龍活動(dòng)分享《云原生環(huán)境 API 安全治理實(shí)踐》時(shí)指出，隨著數(shù)據(jù)中臺(tái)、微？？服務(wù)、云原生等技術(shù)的深入應(yīng)用，大量 API 被廣泛應(yīng)用在數(shù)字生活的每個(gè)領(lǐng)域，伴隨著業(yè)務(wù)接入渠道的豐富，API 的安全問(wèn)題必須受到企業(yè)重視。

　　吳劍剛分享列舉了一系列國(guó)內(nèi)的因?yàn)?API 管控不當(dāng)導(dǎo)致的數(shù)據(jù)泄露事件，并強(qiáng)調(diào) API 所帶來(lái)的安全隱患是需要全行業(yè)共同面對(duì)的多維度的安全風(fēng)險(xiǎn)，以衛(wèi)生和健康行業(yè)為例，因?yàn)橐咔榈脑???API 的訪問(wèn)量就增漲了900%。

　　總結(jié)云原生環(huán)境下 API 安全面臨的挑戰(zhàn)時(shí)吳劍剛表示，云原生架構(gòu)的特點(diǎn)是資產(chǎn)增長(zhǎng)快，且訪問(wèn)不經(jīng)過(guò)邊界設(shè)備，這帶來(lái)了防護(hù)方式的不同。為應(yīng)對(duì)云原生環(huán)境下 API 安全治理挑戰(zhàn)，瑞數(shù)信息構(gòu)建了一整套深入云原生環(huán)境下的全新防護(hù)思路，從感知、發(fā)現(xiàn)、監(jiān)測(cè)到保護(hù)的閉環(huán)能力為用戶構(gòu)建為云原生 API 安全能力。

　　在活動(dòng)現(xiàn)場(chǎng)，吳劍剛分享了瑞數(shù)信息云原生環(huán)境下 API 安全解決方案的諸多技術(shù)細(xì)節(jié)點(diǎn)，包括云原生環(huán)境流量采集的具體實(shí)踐、云原生環(huán)境 API 監(jiān)測(cè)和管控于一體的防護(hù)架構(gòu)的實(shí)現(xiàn)方式等，并對(duì)一些關(guān)鍵點(diǎn)如 API 接口資產(chǎn)管理、API 風(fēng)險(xiǎn)檢測(cè)、敏感數(shù)據(jù)管控、敏感數(shù)據(jù)映射、API 訪問(wèn)行為管控等具體技術(shù)細(xì)節(jié)進(jìn)行了介紹。

　　在客戶實(shí)踐方面，某客戶在云原生化改造之后上線了瑞數(shù) API 安全管控平臺(tái)，平臺(tái)部署上線共實(shí)現(xiàn)了自動(dòng)發(fā)現(xiàn)和確認(rèn) API 資產(chǎn)，并實(shí)現(xiàn)了基于業(yè)務(wù)的分組安全治理。在平臺(tái)運(yùn)行過(guò)程中，平臺(tái)可以及時(shí)了解當(dāng)前 API 在合規(guī)要求、應(yīng)用安全等多方面存在的缺陷，明文傳輸敏感數(shù)據(jù)等等，以及針對(duì) API 接口的攻擊等多維度 API 安全治理，便于后續(xù)有針對(duì)性的完善 API 安全機(jī)制和實(shí)時(shí)防護(hù)。

　　吳劍剛總結(jié)指出，資產(chǎn)梳理是云原生 API 安全治理的基礎(chǔ)工作，在安全監(jiān)測(cè)識(shí)別方面，缺陷的風(fēng)險(xiǎn)識(shí)別和攻擊識(shí)別缺一不可，基于云原生構(gòu)架的獨(dú)特性，更建議采用多維度、多技術(shù)提供更強(qiáng)的安全包容性，更加重要的是 API 安全要結(jié)合業(yè)務(wù)不斷進(jìn)行優(yōu)化策略調(diào)整，這樣才能夠真正讓用戶用起來(lái)。

　　以一線安全廠商角度觀察時(shí)吳劍剛指出，現(xiàn)階段針對(duì) API 的攻擊76%的攻擊都是以爬蟲(chóng)攻擊為主，針對(duì)金融服務(wù)的撞庫(kù)攻擊75%以 API 為目標(biāo)，80%的數(shù)據(jù)泄露全是于來(lái)自于外部的數(shù)據(jù)泄露。所以 API 安全治理的核心主要解決的實(shí)際上就是 API 安全合規(guī)問(wèn)題和 API 安全風(fēng)險(xiǎn)問(wèn)題。

　　中國(guó)信通院云大所云計(jì)算部主任馬飛于沙龍活動(dòng)中發(fā)表致辭，除瑞數(shù)信息之外，來(lái)自騰訊安全、綠盟科技、星闌科技的安全專家均分享了云原生 API 安全思考與實(shí)踐。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<