云原生概念從2013年就已經提出了，最近幾年該技術發(fā)展迅猛，標準到實踐相對更加成熟。對企業(yè)來說云原生是一種既能夠省成本，又能夠提升效率，還能增強穩(wěn)定性的一種架構，同時云原生還能夠很好跟人工智能和大數據等上層技術、新應用相結合。但云原生技術帶來其獨到的優(yōu)勢之余，其本身架構的變革也引入了新的安全風險。

　　11月16日下午，由中國信息通信研究院主辦，云原生安全實驗室承辦的“原”動力第8期—云原生 API 安全治理沙龍于線上成功舉辦。本次沙龍邀請到多位行業(yè)專家與業(yè)界頂尖廠商，共同探討云原生 API 安全治理的防護思路、研究成果和發(fā)展趨勢。

　　中國信通院云大所云計算部高級業(yè)務主管杜嵐在沙龍活動中分享指出，根據信通院持續(xù)調研顯示，安全性已經連續(xù)兩年成為企業(yè)用戶云原生化的最大顧慮，而在企業(yè)內部，云原生安全領域的能力建設剛剛起步，20%的用戶云原生環(huán)境沒有任何安全防護?！霸圃陌踩ㄔO是原生化轉型的必備項能力，目前，企業(yè)一側更多是具備一些容器安全或者應用安全的單點防護能力?！?/p>

　　據介紹，信通院云大所在云原生安全領域做了很多相關工作，在政策支撐和產業(yè)研究方面，其全面支撐了國家部委的相關政策文件的制定，如《企業(yè)上云用云實施指南（2022）》，在云原生安全產業(yè)研究方面，包括19年發(fā)布的《云原生技術實踐白皮書》，20年發(fā)布的《云原生產業(yè)發(fā)展白皮書》，21年發(fā)布的《云原生架構安全白皮書》和《中國云原生用戶調查報告》。在今年，機構推進了《云原生安全趨勢洞察》和《中國云原生安全用戶調查報告》。

　　在平臺搭建和生態(tài)建設方面，信通院在2020年成立了云原生安全工作組，在今年6月份，機構聯合清華大學和騰訊云發(fā)起成立了云原生安全實驗室，實驗室匯聚了眾多行業(yè)頂尖專家學者，實驗室成員單位已近40家，共同開展云原生安全標準制定，技術合作、平臺工具建設、產業(yè)研究，行業(yè)交流等等工作。

　　在標準和評估體系建設方面，信通院從19年開始牽頭制定了包括國內首個容器安全的標準制定，至今已經建立了相對完善的云原生安全標準評估體系，包括《云原生能力成熟度 第3部分：架構安全》、《基于容器的平臺安全能力要求》、《云原生安全能力要求 第1部分：API 安全治理》、《云原生應用保護平臺（CNAPP）能力要求》，以及推進當中的《云原生托管服務（MSS）能力要求》等云原生安全標準。

　　《云原生安全能力要求 第1部：API 安全治理》

　　標準解讀

　　對應沙龍活動內容，杜嵐重點分享了《云原生安全能力要求 第1部：API 安全治理》標準制定的相關情況，這項標準在2021年12月9日中國信息通信標準化協會（CCSA）TC1 WG5的第19次工作組會議上成功立項，目前經過五輪研討已形成標準征求意見稿。

　　另據了解，參與該標準編制的企業(yè)包括阿里云、騰訊云、華為云、瑞數信息、星闌科技、中移信息、用友網絡、新華三、小佑科技、青藤云、天融信、懸鏡安全、百度、中移云能、安易科技等（排名不分先后）。

　　杜嵐指出，云原生化之后，從基礎架構層、到微服務業(yè)務層都會有很多標準或非標準的 API，即充當外部與應用的訪問入口，也充當應用內部服務間的訪問入口。這項標準的制定背景即對應了云原生化的 API 數量的急劇增加、調用頻繁復雜、攻擊面擴大等風險。標準將適用于指導用云企業(yè)構建 API 安全治理能力，適用于規(guī)范相關云平臺、安全產品及解決方案的能力水平與服務質量。

　　《云原生安全能力要求 第1部：API 安全治理》劃分了六大標準框架，分為 API 資產管理、API 風險評估、API 權限控制、API 安全監(jiān)測、API 安全響應以及審計與溯源。

　　01 API 資產管理：API 資產可視可管是云應用 API 安全治理的基礎。API 資產管理能力設計應能夠自動化覆蓋存量及增量業(yè)務的 API，同時能夠從不同視角對資產進行管理。

　　其中 API 資產管理能力分為三個子項能力，分別是 API 資產發(fā)現、敏感數據識別、統(tǒng)一管理。三大章節(jié)所要解決的問題核心是 API 資產的多源發(fā)現和統(tǒng)一可視化管理，并且強調了應以數據角度對 API 進行分類管理，避免潛在的數據泄露事件發(fā)生。

　　02 API 風險評估：應根據API攻擊面及業(yè)務需要建立不同維度的 API 威脅識別、風險評估能力，在 API 資產被攻擊之前主動進行安全檢測，收斂攻擊面、降低 API 整體防護成本。包含風險的檢測、評估以及修復（建議）等。

　　API 風險評估同樣分為三個子項能力，分別是脆弱性評估、業(yè)務邏輯漏洞檢測、應用漏洞檢測，對應了 API 設計或配置不當等原因產生的安全風險、API 因業(yè)務邏輯設計不當產生的安全風險、及中間件 API 漏洞、Web API 漏洞、業(yè)務 API 代碼漏洞等風險。

　　03 API 權限控制：面向云原生平臺及應用 API 訪問的認證、鑒權和安全控制。

　　權限管理、訪問控制、安全通信是 API 權限控制的三個子項能力，權限管理對應 API 細粒度的訪問權限設置，包括資源操作的權限，面向用戶的權限和面向服務的權限，以及對權限全生命周期的管理和一些權限策略的建議生成。訪問控制對應通過多種認證和鑒權的方式，去防止 API 資源不被惡意篡改和濫用。安全通信強調 API 通信數據的機密性和完整性，如利用通信加密方式。

　　04 API 安全監(jiān)測：對 API 交互過程中的運行狀態(tài)、交互行為和數據流進行監(jiān)測，發(fā)現 API 安全攻擊和異常行為。

　　API運行狀態(tài)監(jiān)測、安全攻擊檢測、數據流轉監(jiān)測、異常行為識別是 API 安全監(jiān)測的四個子項能力，API 運行狀態(tài)監(jiān)測包括 API 響應時長、訪問狀態(tài)、異常流量和接口訪問合規(guī)性等。安全攻擊檢測能力要求對 API 請示流量進行識別，檢測流量中的惡意代碼，識別針對 API 接口的安全攻擊行為。數據流轉監(jiān)測能力需要對 API 流量交互中的數據流轉進行監(jiān)測，從而識別數據流轉中的敏感信息。異常行為識別方面要求對 API 接口的訪問行為進行分析、識別，利用行為模型學習構建檢測異常。

　　05 API 安全響應&審計與溯源：發(fā)現攻擊和異常后的響應能力，以及事后的審計溯源能力。

　　在 API 安全響應方面，標準要求建立精細的響應策略和豐富的響應手段，同時強調對敏感數據的阻斷脫敏、分級分類管制、以及與第三方數據安全產品之間的開放性與可擴展性。溯源審計和溯源方面，標準要求首先要面向 API 日志的采集與審計分析，同時還有安全事件的工具溯源分析。由于 API 獨立的攻擊溯源能力是有限的，所以標準更多強調的是和其他威脅情報或安全產品的關聯分析和聯合態(tài)勢處置等。

　　據悉，信通院后續(xù)會持續(xù)完善云原生安全標準評估體系。

　　云原生環(huán)境 API 安全治理實踐分享

　　應深入業(yè)務不斷進行優(yōu)化策略調整

　　瑞數信息技術總監(jiān)吳劍剛在沙龍活動分享《云原生環(huán)境 API 安全治理實踐》時指出，隨著數據中臺、微？？服務、云原生等技術的深入應用，大量 API 被廣泛應用在數字生活的每個領域，伴隨著業(yè)務接入渠道的豐富，API 的安全問題必須受到企業(yè)重視。

　　吳劍剛分享列舉了一系列國內的因為 API 管控不當導致的數據泄露事件，并強調 API 所帶來的安全隱患是需要全行業(yè)共同面對的多維度的安全風險，以衛(wèi)生和健康行業(yè)為例，因為疫情的原因 ??API 的訪問量就增漲了900%。

　　總結云原生環(huán)境下 API 安全面臨的挑戰(zhàn)時吳劍剛表示，云原生架構的特點是資產增長快，且訪問不經過邊界設備，這帶來了防護方式的不同。為應對云原生環(huán)境下 API 安全治理挑戰(zhàn)，瑞數信息構建了一整套深入云原生環(huán)境下的全新防護思路，從感知、發(fā)現、監(jiān)測到保護的閉環(huán)能力為用戶構建為云原生 API 安全能力。

　　在活動現場，吳劍剛分享了瑞數信息云原生環(huán)境下 API 安全解決方案的諸多技術細節(jié)點，包括云原生環(huán)境流量采集的具體實踐、云原生環(huán)境 API 監(jiān)測和管控于一體的防護架構的實現方式等，并對一些關鍵點如 API 接口資產管理、API 風險檢測、敏感數據管控、敏感數據映射、API 訪問行為管控等具體技術細節(jié)進行了介紹。

　　在客戶實踐方面，某客戶在云原生化改造之后上線了瑞數 API 安全管控平臺，平臺部署上線共實現了自動發(fā)現和確認 API 資產，并實現了基于業(yè)務的分組安全治理。在平臺運行過程中，平臺可以及時了解當前 API 在合規(guī)要求、應用安全等多方面存在的缺陷，明文傳輸敏感數據等等，以及針對 API 接口的攻擊等多維度 API 安全治理，便于后續(xù)有針對性的完善 API 安全機制和實時防護。

　　吳劍剛總結指出，資產梳理是云原生 API 安全治理的基礎工作，在安全監(jiān)測識別方面，缺陷的風險識別和攻擊識別缺一不可，基于云原生構架的獨特性，更建議采用多維度、多技術提供更強的安全包容性，更加重要的是 API 安全要結合業(yè)務不斷進行優(yōu)化策略調整，這樣才能夠真正讓用戶用起來。

　　以一線安全廠商角度觀察時吳劍剛指出，現階段針對 API 的攻擊76%的攻擊都是以爬蟲攻擊為主，針對金融服務的撞庫攻擊75%以 API 為目標，80%的數據泄露全是于來自于外部的數據泄露。所以 API 安全治理的核心主要解決的實際上就是 API 安全合規(guī)問題和 API 安全風險問題。

　　中國信通院云大所云計算部主任馬飛于沙龍活動中發(fā)表致辭，除瑞數信息之外，來自騰訊安全、綠盟科技、星闌科技的安全專家均分享了云原生 API 安全思考與實踐。

更多信息可以來這里獲取==>>電子技術應用-AET<<