API安全防护

从防护功能的角度

• API请求识别
  1. 正常客户端请求
  2. 恶意攻击请求
  3. 暴力破解请求
  4. 恶意扫描请求等
• 数据传输加密
  1. 保证业务在传输中是加密流量，使用TLS/SSL,防止不加密造成敏感信息泄露
• Bot攻击识别和防御
  1. 判断来源请求是否是合法客户端请求还是恶意Bot攻击请求，防止消耗资源
  2. 例如：业务系统CPU飙升，响应客户端请求延时过长，等对业务系统操作一系列的资源消耗
• 客户端请求认证和授权
  1. 针对客户端认证，授权，签名等操作可以参考API开发安全checklist，可有效的帮助开发者在根源杜绝认证，授权类安全问题，参考链接：https://github.com/shieldfy/API-Security-Checklist/blob/master/README-zh.md
• API请求内容检查
  1. 针对客户端请求过来的报文一般是json，xml等格式编写，可对此内容进行owasp top10的安全检查
  2. 例如检查：SQL注入，CSRF，XSS等
  3. 同时实现对API接口访问资源的请求方式进行控制，例如：限制某些业务请求客户端只允许使用GET请求查询，不允许使用DELETE等删除操作
• API业务逻辑处理
  1. 跟业务方沟通，了解业务方的API业务逻辑，根据实际情况评审业务逻辑安全问题
  2. 根据业务需求对API业务进行按需对外开放
• 敏感信息加密打码
  1. 对整个业务在交互的过程需要对敏感信息进行加密打码，例如：身份证号，银行卡信息等
• 限流控制
  1. 为了进一步防止API业务被DDoS攻击，可以针对每个业务客户端进行IP白名单限制，同时对具体业务客户的日常请求流量进行限流，这个得前期观察业务正常流量情况，从而根据实际情况来觉得具体限流多少
• 融入态势感知平台
  1. 监控整个业务请求流量，监控恶意攻击流量，存储日志，对业务日志，攻击日志等其他恶意日志进行持续不断的分析

从攻击者的角度

• 网络层
  1. 限制对外暴露的端口，只允许业务端口对外开放，日常收集IP黑名单和威胁情报，日常收集客户端正常业务请求的来源真实IP
  2. 网络层DDoS防御，通过购买第三方云厂商DDoS防护产品来解决，例如阿里云高防
• 传输层 会话层 表示层
  1. 使用负载均衡保证高可用，同时可以隐藏API业务架构
  2. SSL证书卸载，使用强加密算法，屏蔽弱加密算法
• 应用层
  1. 防护owasp top10类常见的应用层攻击，防御Bot攻击流量，可以使用imperva-WAF，F5-AWAF等产品
• 认证和授权
  1. 客户端访问API业务之前需要对客户端进行身份认证和授权，认证系统在认证和授权方面需要支持目前广泛应用的SAML，OAuth，OpenID Connect体系框架，在资源访问凭证的加固上，考虑使用JWT (JSON Web Token)，使得API资源访问的交互过程中，从安全角度以确保凭证数据的完整性