API治理實(shí)踐

作者：高尉峰，單位：中移集成智慧城市平臺(tái)部信息安全團(tuán)隊(duì)

隨著企業(yè)日益依賴API來(lái)提供對(duì)服務(wù)和數(shù)據(jù)的訪問(wèn)，他們對(duì)API安全保護(hù)的重視程度也與日俱增。

API很容易受到各種安全風(fēng)險(xiǎn)的影響，從而導(dǎo)致數(shù)據(jù)泄露、未經(jīng)授權(quán)的訪問(wèn)和其他形式的濫用。具體風(fēng)險(xiǎn)如下：

運(yùn)營(yíng)中斷：不安全的API是網(wǎng)絡(luò)攻擊的入口。攻擊者可以針對(duì)API發(fā)起多種類型的API攻擊（包括拒絕服務(wù)(DoS)攻擊），以消耗系統(tǒng)資源。這些行為會(huì)導(dǎo)致系統(tǒng)運(yùn)行緩慢或中斷，對(duì)用戶體驗(yàn)造成負(fù)面影響，并造成嚴(yán)重安全事故。

財(cái)務(wù)風(fēng)險(xiǎn)：應(yīng)對(duì)API安全漏洞可能造成高昂的代價(jià)，包括糾正安全漏洞、管理公共關(guān)系以及數(shù)據(jù)泄露后的潛在法律成本。

數(shù)據(jù)泄露風(fēng)險(xiǎn)：API安全風(fēng)險(xiǎn)會(huì)威脅到企業(yè)的數(shù)據(jù)完整性、運(yùn)營(yíng)連續(xù)性和財(cái)務(wù)穩(wěn)定性。實(shí)施API安全保護(hù)策略（包括嚴(yán)格的身份驗(yàn)證和速率限制）對(duì)于保護(hù)企業(yè)資產(chǎn)至關(guān)重要。

中移系統(tǒng)集成有限公司智慧城市平臺(tái)部基于近年來(lái)對(duì)API治理的系統(tǒng)研究、創(chuàng)新的實(shí)戰(zhàn)化思想和實(shí)踐發(fā)現(xiàn)，智慧城市平臺(tái)部構(gòu)建了云原生API全生命周期管理，將API治理能力融入DevSecOps流程當(dāng)中。以下將從API設(shè)計(jì)，API管理，API測(cè)試，API監(jiān)控，API防護(hù)的維度介紹云原生API全生命周期管理。

1、API簡(jiǎn)介

API代表應(yīng)用程序編程接口，應(yīng)用程序指的是任何具有獨(dú)特功能的軟件，接口可以看作是兩個(gè)應(yīng)用程序之間的服務(wù)合約。該合約定義了兩者如何使用請(qǐng)求和響應(yīng)相互通信。下圖對(duì)API從不同的維度進(jìn)行了分類。

中移集成智慧城市平臺(tái)部在大量的實(shí)踐經(jīng)驗(yàn)基礎(chǔ)上，構(gòu)建了自己的安全威脅庫(kù)和漏洞防御庫(kù)，實(shí)現(xiàn)了輕量級(jí)威脅建模過(guò)程，通過(guò)安全評(píng)估調(diào)查問(wèn)卷，從系統(tǒng)結(jié)構(gòu)和使用場(chǎng)景去識(shí)別將要構(gòu)建的應(yīng)用類型，然后匹配對(duì)應(yīng)的威脅庫(kù)和漏洞防御庫(kù)，確定安全需求基線，最終得出安全設(shè)計(jì)方案。

2、API管理

1、Swagger是一款開源的API設(shè)計(jì)工具，主要用于構(gòu)建、設(shè)計(jì)、編寫和使用RESTful Web服務(wù)。可以幫助開發(fā)人員設(shè)計(jì)和編寫API，以及創(chuàng)建出色的API文檔。Swagger是一個(gè)強(qiáng)大的開源框架，支持API開發(fā)全生命周期，包括設(shè)計(jì)、構(gòu)建、文檔和使用。

2、通過(guò)Proxy代理，對(duì)流量進(jìn)行分析也是獲取API信息的一種手段。Mitmproxy可以像正常的代理一樣轉(zhuǎn)發(fā)請(qǐng)求，保障服務(wù)端與客戶端的通信，也可以通過(guò)Mitmproxy查看，篡改數(shù)據(jù)包。mitmproxy有兩個(gè)關(guān)聯(lián)組件，一個(gè)是mitmdump，它是mitmproxy的命令行接口，利用它我們可以對(duì)接Python腳本，用 Python實(shí)現(xiàn)監(jiān)聽后的處理邏輯。另一個(gè)是mitmweb，它是一個(gè)Web程序，通過(guò)它我們可以查看或者篡改mitmproxy捕獲的請(qǐng)求。

3、使用API網(wǎng)關(guān)發(fā)布和管理API接口也逐漸成為一種主流趨勢(shì)。隨著微服務(wù)概念的興起，越來(lái)越多的企業(yè)選擇使用微服務(wù)的架構(gòu)方式部署自己的系統(tǒng)。由于微服務(wù)使用的增加，原本一個(gè)龐大的單體應(yīng)用，被拆分為多個(gè)微服務(wù)系統(tǒng)進(jìn)行獨(dú)立維護(hù)和部署，也就造成微服務(wù)系統(tǒng)中存在一定規(guī)模的需要被納管的API接口。這些API接口數(shù)量龐大，對(duì)接不同的微服務(wù)系統(tǒng)，擁有不同的業(yè)務(wù)需求，造成API管理的難度日益增加，API網(wǎng)關(guān)主要實(shí)現(xiàn)以下功能:

1）統(tǒng)一管理

API網(wǎng)關(guān)可提供全生命周期的API管理，涵蓋設(shè)計(jì)、開發(fā)、測(cè)試、發(fā)布、運(yùn)維、上架、下架等，實(shí)現(xiàn)完整的API解決方案?？奢p松管理和部署任意規(guī)模的API。

2）輕松控流

API網(wǎng)關(guān)提供流量控制功能，可通過(guò)多種算法，實(shí)現(xiàn)精細(xì)化的流控。同時(shí)可通過(guò)提供靈活自定義的流量控制策略，來(lái)保障API服務(wù)的穩(wěn)定和連續(xù)。

3）可視化監(jiān)控

通過(guò)API網(wǎng)關(guān)可監(jiān)控API調(diào)用性能指標(biāo)、數(shù)據(jù)延遲以及錯(cuò)誤等信息，識(shí)別可能影響業(yè)務(wù)的潛在風(fēng)險(xiǎn)。

4）多層安全防護(hù)

API網(wǎng)關(guān)可實(shí)現(xiàn)嚴(yán)格的訪問(wèn)控制、IP黑白名單控制、認(rèn)證鑒權(quán)、防重放、防攻擊、多種審計(jì)等安全措施，全方位保護(hù)API安全調(diào)用，且能實(shí)施靈活而精細(xì)的配額管理及流控管理以保護(hù)后端服務(wù)。

5）靈活路由

API支持配置不同的后端，流量可以基于多種策略匹配轉(zhuǎn)發(fā)，輕松解決企業(yè)應(yīng)用的灰度發(fā)布，環(huán)境管理等難題。

3、API測(cè)試

目前安全業(yè)界常用的測(cè)試方法包括：DAST（滲透測(cè)試）,SAST（靜態(tài)代碼掃描）,IAST（交互式應(yīng)用程序安全測(cè)試）,SCA(軟件成分分析)。以上四種測(cè)試方法已經(jīng)在中移集成智慧城市平臺(tái)部落地，通過(guò)對(duì)接CI/CD實(shí)現(xiàn)了安全自動(dòng)化測(cè)試，具體的實(shí)踐方案如下：

DAST：安全測(cè)試人員通過(guò)burp suit，appscan，nmap等黑盒掃描工具對(duì)系統(tǒng)的接口進(jìn)行安全測(cè)試。

SAST：通過(guò)掃描源碼中的高中危漏洞，然后在流水線設(shè)置質(zhì)量門禁，保證提交代碼的安全性。

IAST：通過(guò)引入洞態(tài)iast系統(tǒng)，從流量層面和源碼層面實(shí)現(xiàn)漏洞檢測(cè)，具有低誤報(bào)，確認(rèn)安全問(wèn)題更方便，自動(dòng)化程度高的優(yōu)點(diǎn)，成功彌補(bǔ)了DAST和SAST的缺點(diǎn)。

4、API監(jiān)控

網(wǎng)絡(luò)流量數(shù)據(jù)通過(guò)全天候全方位實(shí)時(shí)地識(shí)別，并與威脅情報(bào)、行為模型匹配，發(fā)現(xiàn)未知威脅、木馬通訊、隱蔽信道等異常行為。利用流量可視化能力，看見資產(chǎn)、看清安全洼地、看透安全隱患，為用戶構(gòu)建靈敏的網(wǎng)絡(luò)威脅感知能力，展示全方位的網(wǎng)絡(luò)安全態(tài)勢(shì)。

Kubeshark可以實(shí)現(xiàn)捕獲和監(jiān)控容器、pod、命名空間、節(jié)點(diǎn)和集群的所有 API 流量。支持 REST、GraphQL、gRPC、Redis、Kafka、RabbitMQ (AMQP)、DNS、Websockets、TLS 和 mTLS 。

5、API防護(hù)

1）DDOS防護(hù)

nginx作為一款高性能的Web代理和負(fù)載均衡服務(wù)器，我們就可以在Nginx上進(jìn)行設(shè)置，對(duì)訪問(wèn)的IP地址和并發(fā)數(shù)進(jìn)行相應(yīng)的限制。

Nginx限制IP的連接和并發(fā)分別有兩個(gè)模塊：

limit_req_zone 用來(lái)限制單位時(shí)間內(nèi)的請(qǐng)求數(shù)，即速率限制。

limit_req_conn 用來(lái)限制同一時(shí)間連接數(shù)，即并發(fā)限制。

2）RASP防護(hù)

在Java技術(shù)棧下，onestone 引擎以 javaagent 的形式實(shí)現(xiàn)，并運(yùn)行在 JVM 之上。在應(yīng)用服務(wù)器啟動(dòng)的時(shí)候，onestone 引擎借助 JVM 自身提供的instrumentation 技術(shù)，通過(guò)替換字節(jié)碼的方式實(shí)現(xiàn)hook關(guān)鍵類的關(guān)鍵方法。

在這些關(guān)鍵函數(shù)執(zhí)行之前添加安全檢查，根據(jù)上下文和關(guān)鍵函數(shù)的參數(shù)等信息判斷請(qǐng)求是否為惡意請(qǐng)求，并終止或繼續(xù)執(zhí)行流。該方法能夠準(zhǔn)確定位攻擊，顯示攻擊載荷的執(zhí)行路徑。

中移集成智慧城市平臺(tái)部采用onestone系統(tǒng)實(shí)現(xiàn)入侵防御。主要解決以下痛點(diǎn)：

漏洞爆發(fā)后的修復(fù)時(shí)間少則兩周，多則數(shù)月，存在攻擊空窗期，無(wú)法實(shí)時(shí)攔截攻擊。

開發(fā)人員打安全補(bǔ)丁時(shí)無(wú)法準(zhǔn)確定位問(wèn)題，導(dǎo)致安全問(wèn)題未完全修復(fù)。

現(xiàn)有waf系統(tǒng)存在誤報(bào)率高，無(wú)法攔截未知威脅，無(wú)法感知攻擊，無(wú)法精準(zhǔn)溯源的風(fēng)險(xiǎn)。

6、API治理價(jià)值

1、清查服務(wù)體量持續(xù)加速增長(zhǎng)的API

2、形成完整的 API 定義或文檔

3、實(shí)時(shí)更新生產(chǎn)環(huán)境 API 服務(wù)的變更

4、解決影子API及接口濫用問(wèn)題

5、檢測(cè)API存在的未授權(quán)訪問(wèn)、敏感數(shù)據(jù)暴露等各類安全風(fēng)險(xiǎn)，并提供詳細(xì)的風(fēng)險(xiǎn)分析及安全處置建議。