資訊中心管理
保護整個API 生命週期的API 安全平台 –Noname Security Platform
下一篇 - Dynatrace 單一、智能平台判斷DevSecOps 所有階段盲點

保護整個API 生命週期的API 安全平台 –Noname Security Platform

撰文 | 叡揚資訊 系統事業處
Noname API 安全平台從開發到測試環境和正式環境,對您API 的每一環節進行自動且全面的測試,使安全團隊能夠跟上應用程式開發人員的需求

API 這項技術在現代 IT 世界中無處不在,API 流量也呈現快速的增長,然而,這也成為駭客下一個攻擊的目標。一個應用程式可能由多個後端API 組成,並且每個 API 可以多種不同的方式調用。在API 安全保護方面,只靠傳統的網頁應用安全控制並不是完整的解決方案,企業必須增加針對 API 的特定控制來解決 API 安全問題,添加威脅阻檔和補救機制,並持續提供專為API 量身定制的安全測試。

API 是一種功能強大且被廣泛採用的技術整合工具

API 使程式能夠以有效率且對開發人員友善的方式與另一個程式溝通,即使它們不是使用相同的開發語言產出的。目前大多數應用程式中,API 使用REST、webhook、gRPC 或 GraphQL 進行溝通。API 提供企業與合作夥伴的應用程式技術整合,因此,API 在現代 IT 世界中無處不在。它們運用於雲端遷移、微服務、合作夥伴間的資料整合、Kubernetes、DevSecOps、DevOps 和自動化。

API 的安全挑戰

API 所需的一些安全控制與傳統應用程式安全所需的安全控制類似。然而,有幾個針對 API 的安全挑戰,並無法透過傳統的Web 應用程式安全控制來充分解決。

建立 API 或應用程式清單

此資訊可幫助應用程式安全團隊辨別高優先等級的安全風險。在資源有限的環境中,團隊不應該花時間保護風險最低的應用程式或 API。如果沒有具備相關的API資訊盤點清單,就不可能知道在哪裡有效的部署安全控制措施。

安全人員與 API 或應用程式的比例失衡

當每個 AppSec 團隊成員負責數量眾多且不易管理的 API 或應用程式時,安全維護工作可能會變得更難以負荷。

部署正確工具來評估跨應用程式的安全性

一般來說,應用程式安全團隊缺乏良好的預防和偵測工具來分辨問題。通常AppSec團隊只有在應用程式出現問題或 CPU 使用率飆升至 100% 時才會發現問題。需要有一工具能夠積極主動處理,並且防止代價高昂的當機。

處理各種 API 溝通模式

API 負責的是軟體到軟體間的溝通,它比具有完整用戶界面的應用程式更易於管理。但是,也存在許多不同的 API 溝通模式。

API 可以由 Web 應用程式、命令列客戶端、cURL 或其他 API 調用。

部署強大的工具

API 測試工具還處於早期階段,尤其是用於測試的動態API 工具,儘管 Swagger 和OpenAPI 規範能使工具變得更好,但還是有不足之處。

傳統的應用程式安全控制只能提供 API 部分保護

API Gateway 提供了對安全問題的一些可控措施,因為它們充當流量和安全政策執行的關鍵位置。但是並非所有 API 調用都透過 API Gateway。企業通常對這些 API調用以及未透過 API Gateway 的微服務API 調用視而不見,通常僅在發生違規行為後才會在 API 中尋找身份認證威脅。

此外,API 測試不同於應用程式測試。將一套普通的應用程式安全工具套用在 API並不能提供適當的保護。舊有或殭屍 API也是另一個問題。它們可能比企業的 API資訊安全計劃還早被上線。它們的狀態可能是本應停用,但由於疏忽卻仍保持運作狀態的 API。這些 API 通常找不到負責人,也在沒有任何可視化或安全控制的情況下運行著,不當濫用的風險極高。

API 安全需要通用的安全控管並結合動態和靜態測試

為了保護 API 安全,團隊必須實施幾個通用安全控管,其中包括網路流量加密、辨識誰在調用 API 的身份驗證、確定是否允許調用者所請求的授權、使用最簡單的速率限制以及用稽核日誌來確認一切是否正常。

動態和靜態測試也是必不可少的,因為在開發週期中越早發現安全漏洞和錯誤設定, 修復的成本就越低。NonameSecurity Platform 能提供開發者針對Swagger 文件進行安全與品質的檢測,給予風險評估及程式碼優化的建議,協助開發團隊在開發API 或進行API 改版時,能夠將程式寫得更加完善並減少在RuntimeProtection 發生異常事件的次數以及程式維護的難度。

在動態方面,專為 Web 應用程式設計的自動化測試通常無法為 API 及其獨特的業務邏輯功能提供足夠的安全測試。NonameSecurity Platform 則能透過Swagger,以OWASP TOP 10 為基礎建立出專屬於此API 的模擬攻擊。進行模擬攻擊後,Noname Security Platform 會執行弱點分析並預測惡意使用API 與端點的方式,也能從測試過程中半自動地找出API 中的敏感資訊、敏感事件與PII,提供團隊優化API 的方向並重新評估每個API 與欄位的權限與必要性,減少敏感資訊暴露的風險。

Noname Security

Noname API 安全平台在從開發到測試環境和正式環境,對您API 的每一環節進行自動且全面的測試,使安全團隊能夠跟上應用程式開發人員的需求並達到戰略業務目標。透過在單一平台中進行API 狀態管理、運行實時安全和主動測試,NonameSecurity 超越了許多獨立的解決方案和個別分開的流程,同時借助涵蓋正式與非正式環境的安全資料,以確保 API 通過廣泛的弱點掃描測試。

快速且安全地進行創新

  • 透過快速開發和部署安全的 API 產品與服務以贏得市場先機。
  • 於API 開發生命週期中的每一步進行相關且詳盡的測試,減少技術債和漏洞修復。
  • 根據實際部署結果輕鬆建立準確的文檔,包括 Swagger 文件。

降低風險

  • 透過在 API 部署至正式環境之前和之後,對其進行靜態與動態分析來阻止漏洞。
  • 與既有的工作流程工具和問題處理系統整合以進行快速修復。
  • 減少攻擊面並改善整體 API 的安全狀況。
  • 將開發延遲的風險和成本降至最低。

Noname API 安全平台在從開發到測試環境和正式環境,對您API 的每一環節進行自動且全面的測試,使安全團隊能夠跟上應用程式開發人員的需求並達到戰略業務目標。

09 1

降低成本

  • 透過在部署至正式環境前找到問題並解決問題。
  • 與現有的持續整合/ 持續部署 (CI/CD)系統整合,以增加目前的投資價值並降低FTE (Full Time Equivalent) 開發成本。
  • 避免與資料洩露相關的法規罰款。
  • 減少多餘的第三方安全測試工作並專注於目前的重點。

協調開發人員和安全團隊

  • 透過將自動化安全與現有的CI/CDpipeline 及流程整合以達到營運一致化。
  • 將安全團隊定位為真正的業務合作夥伴及業務增長的推動者。
  • 提高員工留任率和士氣的 “shift left” 文化。
  • 優化軟體開發及部署策略。

強大的靈活性

  • 與現有的 CI/CD pipeline 流程和工具與問題處理和工作流系統整合。
  • 輕鬆建立測試套件以符合業務目標或是團隊結構等。
  • 根據組織的需求客製化調整行為測試和嚴重性測試,包含安排以期望的時程間隔自動運行測試。
  • 使用基於群組的授權參數資料簡化測試,因此只有符合的團隊才能存取 API進行測試。
  • 根據應用程式、業務單元、功能或任何其他特徵,自動或手動對 API 進行群組

嚴格且全面的測試

  • 自動運行多項測試以保護 API 避免遭受攻擊,包含 OWASP API Top 10。
  • 透過動態更新從各種來源導入 API 。
  • 與 API 狀態管理和運行時保護相結合,可立即偵測出漏洞。
  • 在測試期間使用來自運行時真實記錄的流量,以確保真實世界的準確性。
  • 根據需求在開發環境、測試環境及正式環境中進行測試。
  • 輔助滲透測試和其他安全服務。

總結

企業必須解決從程式碼到線上環境間整個 API 生態系統的安全問題,但保障 API安全是很複雜的工作。Noname SecurityPlatform 能涵蓋 API 的所有面向,包括開發、部署配置和 Runtime 操作:

  • API 安全態勢 : 使用資料分類評估每個API,包括舊有 API 和影子 API。確定其對業務重要與否。根據該清單,辨識原始碼、網路設定和安全政策中的錯誤設定及漏洞。將安全防護重心放在最高風險的區塊才是正確的作法。
  • 偵測與回應 : 為 Runtime API 威脅檢測部署基於行為的模型。實施自動化和半自動化以阻止和修復威脅。
  • 持續測試 : 持續測試 API 端點以在 API風險出現之前能辨別它們。透過 API 特定的測試補充 DevOps DAST、SAST、SCA 和其他現有工具,這些測試可以自動化並整合到 CI/CD pipeline 中。分類。