在零信任世界里，如何保障API的安全性？-58码农网

云计算大行其道的今天，传统的安全边界概念正在发生前所未有的变化。
为了实现云安全，许多企业採用零信任架构（ZTA）原则，其中很多原则侧重于评估使用者信任度，并通过主要用户介面管理对敏感网路、系统和数据的存取。

然而，许多ZTA计划在设计持续评估信任的方法时，却忽略了基于应用程式程式设计介面（API）的存取操作，其实这类操作的功能和存取正日益普遍。

本文将介绍API与ZTA之间的一些交叉点，还将概括介绍为了将ZTA扩展到API而可以採取的一些初步措施。

零信任是什么？

2010年，Forrester向企业介绍了ZTA原则。
此后，Forrester和其他众多行业利益相关者（包括美国国家标準与技术研究院）在NIST特别出版物800-207中，对ZTA的设计进行了大量改进。

简单来说，零信任假定任何用户或设备都不能被预设信任。
相反，在每次尝试存取敏感资源时，都要对使用者或设备进行评估，并在此后持续进行评估。

多年来，ZTA更像是一个讨论话题，而不是企业在现实世界中追求的目标。
但在新冠疫情大流行的刺激下，许多企业开始推进採用ZTA原则的具体计划。

NIST SP 200-807概括介绍了零信任的七项基本原则。
虽然这些原则所包含的内容远不止基于API的应用程式功能和数据存取，但它们与企业的API战略也有非常明显的交叉点。

下表列出了NIST SP
200-807中定义的ZTA七项基本原则，以及使企业API安全实践与这些原则保持一致的建议。

对于大多数希望採用ZTA的企业来说，最大的挑战之一是决定从哪里开始。
就API安全而言，实施以下功能将对安全态势产生立竿见影的影响，同时还能为我们提供将API安全纳入未来ZTA计划所需的基础：

实施持续的API发现并维护所有API和API可存取资产的準确清单

当发现未经许可的API时，确保系统化的工作流程到位，以便将其纳入管理或消除

无论API是公共的还是私有的，都要实施完善的API身份验证和授权

从OWASP API安全十大漏洞入手，积极主动地识别API漏洞，并将其作为一项持续的纪律

开发分析大型API流量数据集的能力，以确定正常行为基线并执行异常检测

在通过API集成实施ZTA策略引擎时，将威胁和信任洞察反馈到ZTA策略引擎中

当出现API漏洞、威胁和滥用时，启动自动响应机制

将API安全纳入ZTA计划，这是一项长期的、系统性的工作。 Akamai API
Security为使用者提供了必要的工具和支援，帮助用户实施全面的API安全性。
欢迎关注 Akamai，进一步了解该解决方案的强大功能和Akamai能为企业提供的説明。