在這篇部落格中,我將介紹 APIClarity – 它是什麼、它做什麼以及它能為您做什麼。讓我們先看看 API 世界中的問題集。
API安全漏洞
API 安全漏洞是當今雲端優先應用程式世界中始終存在的威脅。您無需費力尋找新聞即可找到這項消息。我在今年年初創建了一篇部落格文章,詳細介紹了2022 年排名前五的外洩事件,光是這五起外洩事件中,就有超過 2,700 萬個客戶帳戶的資料外洩。其中一些數據在暗網上出售或用於勒索或勒索。有些甚至可能被用於間諜活動。除了直接損害之外,資料外洩發生時還會對公司聲譽和品牌造成不可估量的影響。
關於 API 漏洞被用作攻擊媒介的消息已 瑞典電話號碼數據 經洩露,但我們可以主動採取哪些措施來保護我們的雲端原生應用程式?繼續閱讀!
APIClarity 來救援:開源 API 安全工具
APIClarity是一個雲端 API 可觀測性開源項目,提供發現和監控與現代應用程式互動的任何 API 流量的功能,並報告可疑的安全漏洞或可能的濫用行為。它包括一個 UI 儀表板,可輕鬆管理和監控 API。
APIClarity 如何協助防止 API 安全漏洞
本系列中的另一篇部落格深入介紹了 APIClarity 的架構,但現在,讓我們深入探討一下它的工作原理。
APIClarity 作為 Kubernetes 叢集中的 Pod 部署運行,如上圖右側(綠色)所示。用戶可以上傳從 UI 到 APIClarity 的OpenAPI規格(本部落格稱為 OpenAPI 規格),並批准從 UI 重構的 OpenAPI 規格。 APIClarity 報告的 API 事件、安全調查結果、重建的 API 規格和規格差異都在 UI 中可見。
為了捕獲應用程式的 API 流量(即外部 API 呼叫),APIClarity 與 API 網關和外部流量來源集成,以挖掘流量並將其發送到 APIClarity pod。上圖中顯示了 Tyk 和 Kong API 網關,並附有用於此目的的 APIClarity 插件。
為了擷取應用程式內的 API 流量(即微服務之間的內部 API 呼叫),APIClarity 在特使代理 慢性傷口? synapses usa 的專家可以提供以下協助 程式層級與服務網格整合(在圖中顯示為表示WebAssembly過濾器的紫色方塊),以將流量轉送到APIClarity。目前支援 Istio 和 Kuma 服務網格。
APIClarity 為增強雲端安全性做了哪些工作
我們來看看APIClarity的功能。
API發現
保護應用程式 API 安全的第一步是對其進行正確編目和記錄,而 API 文件的事實上的標準是 OpenAPI 規範。
如果應用程式的所有 API 均已具有有效的 OpenAPI 規範,則可以將這些規 資料庫資料庫 範上傳到 APIClarity。然而,目前部署到雲端的許多應用程式並沒有針對有權存取應用程式和資料的所有 API 的 OpenAPI 規範。在這種情況下,APIClarity 將監控 API 流量並根據觀察到的呼叫重建 OpenAPI 規範。然後可以審查、批准和下載重建的規格。
一旦透過上傳或重建和批准獲得有效的 OpenAPI 規範,APIClarity 就會將正在進行的 API 呼叫與規範進行比較,並報告任何差異。這將我們引向下一部分:監控。
API監控
API 的初步發現非常重要,尤其是在需要重構 OpenAPI 規範的情況下。儘管如此,最重要的是,在雲端環境中持續即時觀察和監控 API 使用情況,並標記和報告任何可疑的異常情況。
APIClarity 可以偵測和報告多種 API 使用異常。
影子 API
影子 API 是允許獲得應用程式存取權的未記錄的 API。由於它們沒有記錄,因此不受控制,因此無法得到充分的保護。
影子 API 攻擊是呈上升趨勢,並成為雲端原生應用程式的重要攻擊媒介。
為了檢測應用程式中的影子 API,APIClarity 使用已批准的 OpenAPI 規範與持續的 API 流量進行比較,並將規範中找不到的任何 API 呼叫報告為影子 API。如果報告的 API 有效,則可以將其新增至規格。如果沒有,可以從應用程式中刪除對它們的支持,從而消除安全漏洞。
殭屍 API
殭屍 API是較舊的、已棄用的 API 版本,但仍可正常運作並被應用程式接受。因此,即使新的 API 版本得到加強和保護,殭屍 API 也可以規避新的要求。這可能會削弱應用程式的安全態勢,使潛在的威脅環境無限期地處於無人防守狀態。
與影子 API 偵測類似,APIClarity 將 API 流量與已核准的規格進行比較,並將任何已棄用的 API 使用情況報告為殭屍 API。然後,這些「不死」的 API 就會被廢棄,並刪除對應用程式和資料的存取權限。