云計(jì)算是數(shù)字化轉(zhuǎn)型的核心部分。大多數(shù)企業(yè)如今都在使用基于云的各種服務(wù)。這些服務(wù)能夠幫助企業(yè)在這不斷變化的時(shí)代保持敏捷與韌性。

　　絕大多數(shù)(92%)企業(yè)都在云端托管各類資源和功能。這些資源和功能是業(yè)務(wù)運(yùn)營(yíng)的必備條件。但是，云的安全程度如何?并不特別安全。

　　2021年的調(diào)查研究表明，98%的企業(yè)面臨針對(duì)云的攻擊。而這一比例在2020年還只是10%，一年半的時(shí)間就飆升了如此之多。

　　這些年來(lái)，云黑客攻擊的主要原因歷經(jīng)演變。目前，API是云所面臨的主要威脅之一。而且，API安全風(fēng)險(xiǎn)是當(dāng)今網(wǎng)絡(luò)安全領(lǐng)域一個(gè)令人不安的趨勢(shì)。三分之二的云數(shù)據(jù)泄露都是有錯(cuò)誤配置的API引起的。

　　為什么API是云所面臨的首要威脅?該怎樣保護(hù)云及其上托管的各類資源?下面我們就好好說(shuō)道說(shuō)道。

　　云黑客攻擊掠影

　　首先，云會(huì)遭遇黑客攻擊嗎?那還用說(shuō)?肯定會(huì)被黑的。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)去年就警告過(guò)我們了。

　　黑客已經(jīng)注意到云對(duì)當(dāng)今企業(yè)的重要性了。他們還知道很多公司都在用公有云。私有/內(nèi)部云比公有云更難黑。

　　在公有云上，企業(yè)和供應(yīng)商共擔(dān)安全責(zé)任。公有云上可供攻擊者利用的漏洞越來(lái)越多。

　　一些企業(yè)還未能應(yīng)用足夠的安全控制措施來(lái)保護(hù)云端安全。因此，云黑客攻擊實(shí)例日漸增多。

　　為什么API是云安全的主要威脅?

　　不安全的API和接口是當(dāng)今云安全的主要威脅，緊隨身份、訪問和密鑰管理不足之后，位列云威脅榜單第二位。

　　API威脅排名上升

　　在2019年時(shí)，API尚未被視作云安全的大威脅。那個(gè)時(shí)候，API依賴還很少。而如今，我們對(duì)API的依賴正迅速增長(zhǎng)。我們正從基于Web的基礎(chǔ)設(shè)施轉(zhuǎn)向應(yīng)用API基礎(chǔ)設(shè)施。單一整體應(yīng)用和網(wǎng)站越來(lái)越少了。

　　API為開發(fā)人員提供了敏捷構(gòu)件塊，讓他們可以輕松開發(fā)云服務(wù)。API還可以提供優(yōu)良得多的連接性。但有得必有失，這些好處同時(shí)也伴隨著一些風(fēng)險(xiǎn)。于是，API成了CISO的首要安全顧慮。

　　API擴(kuò)大了攻擊面

　　API會(huì)擴(kuò)大攻擊面，方便惡意黑客進(jìn)行云攻擊。為什么API會(huì)擴(kuò)大攻擊面呢?因?yàn)樗鼈儫o(wú)處不在。API的普及形成了一個(gè)相互關(guān)聯(lián)的架構(gòu)。

　　這里的一個(gè)錯(cuò)誤配置或者那里的一個(gè)失效訪問控制就是黑客所需的全部了。他們會(huì)利用這些漏洞黑掉云。

　　而且，外部API和第三方云服務(wù)也沒少用。如果你的供應(yīng)商沒把API安全當(dāng)回事，那你就得做好面對(duì)損害的準(zhǔn)備了。90%的數(shù)據(jù)泄露都是奔著云資產(chǎn)和服務(wù)來(lái)的。

　　API本質(zhì)上就會(huì)造成數(shù)據(jù)安全問題

　　API要方便訪問和連接各種資源與數(shù)據(jù)。換句話說(shuō)，API本就要暴露數(shù)據(jù)和資源。如果沒做好API防護(hù)，位于云端的敏感數(shù)據(jù)就會(huì)暴露給攻擊者了。然后，攻擊者可以很輕松地修改、刪除或盜取數(shù)據(jù)。

　　API威脅云數(shù)據(jù)安全，因?yàn)榇蠖鄶?shù)企業(yè)都不具備：

　　恰當(dāng)?shù)脑L問控制

　　實(shí)時(shí)可見性

　　穩(wěn)健的數(shù)據(jù)安全策略

　　管理API很復(fù)雜

　　企業(yè)平均在用15564個(gè)API。去年，企業(yè)內(nèi)API的使用飛速增長(zhǎng)，增長(zhǎng)率高達(dá)201%。大型企業(yè)平均使用25592個(gè)API。

　　這就讓開發(fā)人員很難監(jiān)測(cè)、管理和保護(hù)所有API了。而集中可見性的缺乏又進(jìn)一步加劇了這一挑戰(zhàn)。

　　因此，一些漏洞和安全缺陷就出現(xiàn)了。這些不受管控的影子API讓攻擊者得以輕松進(jìn)行云攻擊。此類漏洞示例如下：

　　√ SaaS錯(cuò)誤配置

　　√ 禁用安全控制措施

　　√ 未經(jīng)身份驗(yàn)證的端點(diǎn)

　　√ 禁用日志和監(jiān)視

　　API安全錯(cuò)誤認(rèn)知導(dǎo)致安全狀況不佳

　　此類API安全錯(cuò)誤認(rèn)知示例如下：

　　× 基于端口的封禁有效

　　× 基于簽名的技術(shù)足以保護(hù)API

　　× 防火墻、API網(wǎng)關(guān)和IAM工具足以保護(hù)API

　　× 單一自動(dòng)化工具可有效應(yīng)對(duì)API威脅。例如下一代WAF和入侵防御系統(tǒng)(IPS)

　　但現(xiàn)實(shí)與之截然不同。你需要的是多層全面API安全解決方案，其中要包含：

　　√ 下一代WAF

　　√ 特定于API的規(guī)則

　　√ 全球威脅情報(bào)來(lái)源

　　√ 實(shí)時(shí)集中可見性

　　√ 高級(jí)爬蟲與DDoS緩解

　　√ 自學(xué)習(xí)AI、自動(dòng)化和數(shù)據(jù)分析

　　√ 行為分析(檢測(cè)惡意行為)

　　√ 認(rèn)證安全專業(yè)人員的專業(yè)知識(shí)(用以解決復(fù)雜問題)

　　只有這樣的解決方案才能確保你不被暴露的API蒙蔽了雙眼。