API安全防护
从防护功能的角度
- API请求识别
- 正常客户端请求
- 恶意攻击请求
- 暴力破解请求
- 恶意扫描请求等
- 数据传输加密
- 保证业务在传输中是加密流量,使用TLS/SSL,防止不加密造成敏感信息泄露
- Bot攻击识别和防御
- 判断来源请求是否是合法客户端请求还是恶意Bot攻击请求,防止消耗资源
- 例如:业务系统CPU飙升,响应客户端请求延时过长,等对业务系统操作一系列的资源消耗
- 客户端请求认证和授权
- 针对客户端认证,授权,签名等操作可以参考API开发安全checklist,可有效的帮助开发者在根源杜绝认证,授权类安全问题,参考链接:https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md
- API请求内容检查
- 针对客户端请求过来的报文一般是json,xml等格式编写,可对此内容进行owasp top10的安全检查
- 例如检查:SQL注入,CSRF,XSS等
- 同时实现对API接口访问资源的请求方式进行控制,例如:限制某些业务请求客户端只允许使用GET请求查询,不允许使用DELETE等删除操作
- API业务逻辑处理
- 跟业务方沟通,了解业务方的API业务逻辑,根据实际情况评审业务逻辑安全问题
- 根据业务需求对API业务进行按需对外开放
- 敏感信息加密打码
- 对整个业务在交互的过程需要对敏感信息进行加密打码,例如:身份证号,银行卡信息等
- 限流控制
- 为了进一步防止API业务被DDoS攻击,可以针对每个业务客户端进行IP白名单限制,同时对具体业务客户的日常请求流量进行限流,这个得前期观察业务正常流量情况,从而根据实际情况来觉得具体限流多少
- 融入态势感知平台
- 监控整个业务请求流量,监控恶意攻击流量,存储日志,对业务日志,攻击日志等其他恶意日志进行持续不断的分析
从攻击者的角度
- 网络层
- 限制对外暴露的端口,只允许业务端口对外开放,日常收集IP黑名单和威胁情报,日常收集客户端正常业务请求的来源真实IP
- 网络层DDoS防御,通过购买第三方云厂商DDoS防护产品来解决,例如阿里云高防
- 传输层 会话层 表示层
- 使用负载均衡保证高可用,同时可以隐藏API业务架构
- SSL证书卸载,使用强加密算法,屏蔽弱加密算法
- 应用层
- 防护owasp top10类常见的应用层攻击,防御Bot攻击流量,可以使用imperva-WAF,F5-AWAF等产品
- 认证和授权
- 客户端访问API业务之前需要对客户端进行身份认证和授权,认证系统在认证和授权方面需要支持目前广泛应用的SAML,OAuth,OpenID Connect体系框架,在资源访问凭证的加固上,考虑使用JWT (JSON Web Token),使得API资源访问的交互过程中,从安全角度以确保凭证数据的完整性
