《API安全解決數據安全問題實踐》I首屆API安全管理論壇
12月3日,由永安在線舉辦的首屆API安全管理論壇在深圳舉辦。四位大咖圍繞API面臨的挑戰及如何進行API安全管理進行了精彩分享。其中,樂信集團信息安全中心總監劉志誠以《API安全解決數據安全問題實踐》為主題進行了分享,我們對現場演講全文進行了梳理,以供更多關注API安全管理的人共同學習。
- 演講全文:
大家下午好。從我個人的理解來看,API安全我認為它是一個能力。它是在你設計的過程中來保證業務安全的一個能力。那這個能力有什么用、解決什么問題呢?從我的觀點上來看,我關注的是它能解決什么實際問題。現在比較熱門的一個話題就是數據安全,大家談數據安全有很多的產品,但是更多的可能還是圍繞著數據庫、數據庫審計、數據庫防火墻,還有整個數據全生命周期數據流這樣的一些安全。
那么在這個過程中我們發現 API 安全和數據安全之間的關系是什么?怎么樣通過 API 安全的手段或者 API 安全這個點怎么來解決數據安全的問題。這個是我今天想給大家做的分享。
還有API安全里面有一個現象,也可以給大家分享一下。就是為什么說 restful API 現在這么多的安全問題?剛才從考古的角度上就知道最早的 API 設計是SOAP 這種簡單訪問協議的 API ,但為什么沒有流行下去?它確實有很完善的安全機制,這里面它為什么不能存在,我們也來討論下這個問題。
最后我們再來看一下數據安全現在是個什么狀況,然后我分享一下我們在數據安全在 API 來治理數據安全方面的一些應用,講一下我們的一些實踐,供大家做一個參考。
API 其實有兩種典型類型 :第一個是rest API ,這種方式它不需要存儲,也不需要重新打包數據,它速度很快,所以它比較流行。但是國外有一種說法,如果我們把這個寄信來去做比喻的話,那么 restful API 就相當于寄個明信片,明信片上面什么信息都是明文的,大家都能看到,但它確實是快。
第二個是 SOAP API。SOAP API 它是有 Web 安全性做保障的, OASIS 這個組織或者 W3C 都有相應的安全的規范設計、安全協議和標準來保證它。它們結合使用 XML 加密、XML 簽名和 SAML 令牌來驗證身份和授權。怎么做 token 這些東西都有很明確的定義。但是它為什么沒有流行?像圖里所展現的,要是這個SOAP API需要一個黑人最終打扮成另外的形象,而 rest API放的根本不管你是什么,就直接送過去就 OK 了,這就是差別。
那API 有沒有良好的安全設計?肯定是有,但是它也會帶來性能的問題,或者是帶來可用性的問題,甚至帶來開發技術的難度,所以它的流行沒有 restful快。但是在現階段,因為越來越多的這種 API 暴露出來,越來越多的服務在互聯網上暴露,安全問題反而越來越重要,這是值得我們思考和關注的問題。
那安全的設計怎么做?其實有一些現成的協議可以參考,不用閉門造車。這里面一些協議,但是這些協議怎么簡化怎么使用,我覺得是可以探討的。比如Owasp API Security Top10,之前肖總也詳細講了,這里我就不再贅述。但是這里面確實越權的問題比較嚴重,因為我們也發現一些很重要的對外暴露的 API ,包括所謂的敏感數據的泄露,其實很多問題都是鑒權和越權這個問題密不可分。
我們可以看一下SOAP它本身的安全協議的一個設計。SOAP這個組織它有認證和鑒權的一個標準,W3C的完整性、抗抵賴、機密性,它都有相應的一個協議和標準。都是可以做你的 API 安全保障,或者是軟件開發過程中怎么去設計來保證 API 安全,都是可以去參考的。并不一定說閉門造車自己去想一套協議出來,因為你肯定沒有專家想的這么完善。
下面我們也來看下數據安全的情況。數據安全到底大家在談什么?這里面其實有幾種觀點。第一個是從生命周期的觀點,它的完整的生命周期是怎么樣,什么時候采集,什么時候怎么存儲、怎么使用、怎么共享、怎么銷毀。這里面還有一系列模型,大家都可以看到。從他的管理和數據的安全能力、治理的成熟度模型這些角度來看,這些從這個理論上是對的,大家都能說得很清楚,邏輯上是沒有問題的,但是怎么落實到你的業務中去,怎么落實到實際管理中的細節,其實目前這樣的產品是比較缺乏的。
另外一個是從數據流動的觀點,現在對于流量的觀點大家也是比較關注的,在不同的會上大家都有講過,從數據流動、畫數據流圖,它是從業務的過程的觀點去看。那從流量監控,比如說埋點,比如說代理這種采集,把數據去從每一個過程中去把它采集出來。當然這是一種數據流動的觀點上來看。也有一系列的產品實現,包括一些創業型的產品,去在每個應用或者是每個服務器,包括我們容器里面去采集流量,來觀察這個流量數據的流轉的過程。
還有一個就是從安全實踐的角度上來講,它又有一些綜合的觀點。是從一個點來看數據安全還是從一個面上來看。但是我們從這三種方向上來看數據安全,都會發現現在市面上的數據產品其實很難解決數據安全的問題,數據泄露這個事情你說從全生命周期的觀點上來看是對的,但是我怎么落地,你說從數據流上的觀點也是對的,那我采集的時候涉及到性能的問題,涉及到分析的問題。當然從管理的角度上來講也有,比如說現在我們大家說數據安全,我要分類分級,我要對不同類別的數據進行分類分級的管理,但是分類分級之后,你怎么把這個分類分級應用到你的安全策略里面來?比如說個人敏感信息,單純的說個人敏感信息它是最緊急的最重要的數據,那你怎么保證它的安全,怎么落實到我的生命周期里面,怎么落實到我數據流里面,從實際上怎么去解決這個問題,是值得我們大家思考的一個問題。
這里面我把整個的疑點分成三個。
第一個就是分類分級如何應用,就是按照國家相關的規范和標準把我的業務數據做好分類分級。但是這個分類分級不是說做好了放一個庫就不管了,這個其實就沒有指導數據安全的這個意義,怎么用這個才是很重要的。
另外一個就是數據加密和脫敏說起來簡單,但是什么時候去做加密,什么時候做脫敏,比如說現在國家的規定,有些說我們要做數據庫字段級的加密,那么手機號碼這個字段加密它有多大的意義?如果單純的字段,你拿到這一個手機號碼你能有什么用途?但是如果這個手機號碼和姓名結合起來,那它就有用,如果他在和你的業務的信息結合起來,他就有用。但是這個信息是什么時候結合起來的?可能是在一個 API 里面結合起來的,而不是在數據庫里面的那一個字段上去做的。這個時候我們什么時候再做這個字段呢?如果我把在數據庫這個字段去對手機號碼這個字段去加密,那你的搜索、你的統計、你的分析就會帶來很大的問題,但是他的風險有多大?單純這一個字段來講是我們值得考慮的。而它最大的風險發生在哪里?反而是你在數據流動在API 里面。如果一個 API 組合查詢一個用戶手機號碼的一個訂單,有手機號碼,有訂單信息,有用戶的姓名,那這個是非常敏感的信息,但是我們怎么保證這個 API 數據的安全?這個我覺得是要考慮的東西。
第三個是 API 訪問數據是怎么訪問的,誰來訪問的?這個就是我們說鑒權的問題以及方法方式的問題,這其實是我們要考慮的一個重點。我們通過這些就可以看到這些問題的思考是不是和 API 安全相關。
下面這些 API 訪問敏感數據的風險,其實就是對剛才這三個問題的一個回答。
第一個就是 API 的認證和鑒權。就是說我們并不是對所有 API 都一視同仁的,有些 API 它里面的數據信息可能不需要你去做認證和鑒權就可以訪問的,有些不是敏感信息可能不需要那么安全的級別。要針對不同的 API 有不同的安全級別的管控機制。我們在說數據的分類分級,實際上就是你的 API 也要做分類分級的治理,你含有什么樣的數據才要做認證鑒權,這個是要進行分類要做處理的。
第二個, API 里面的數據哪些是要做加密,哪些是要做透明的,這和 API 本身也有很大的關系。
第三個,要進行 API 的行為分析。但是你是個人訪問還是批量訪問,這里面我們說限頻限流也好,其實都是和這個相關的。另外你對 API 的行為怎么去管控?是不是有控制和管理的措施能夠做阻斷,能做預警,這也是我們關心的一個問題。另外就是我們所有的 API 你能不能對它的事后或者是出現安全事件之后能不能做回溯,能不能做審計和分析?這是我們覺得在數據安全里面要考慮 API 安全的一些重要的因素。
這里面我們是把它定義成幾個需求。
第一個是預防,就是有對關鍵含有敏感數據的這些 API 要有預防的措施,這和 API 的設計有關。需要有相應的認證措施,要有相應的鑒權,例如對哪些字段要做加密哪些字段要做脫敏等。
第二,要有檢測的能力。對于API出現敏感數據,無論是它的行為異常還是權限有異常,我們要有預警的能力,要有分析的能力。
第三,要有響應的能力。對于異常的 API 的訪問要有阻斷,然后要有溯源,最后能夠形成一個管理機制,我們能夠對它進行審計,并且能定期有一個報告,能跟蹤到所有在 API 這個環節出現數據安全問題的風險的一個狀態。用現在流行的一個詞來說就是態勢感知。
最后來講一下我們對API數據安全的實踐。
我們自己有在做一個的數據安全的運營平臺,這個和 API 安全治理以及 API 網關本身是相關的。當然我們不是叫 API 網關,API網關有API網關的作用,我們是叫數據安全網關,這個網關我們有幾個關鍵因素。
第一個是分類分級的標簽庫。我們對所有的數據會做分類分級,但是這個數據的分類分級包括在數據庫里的數據,也包括在 API 里流轉的數據, API我們都會有標簽,API 它里面的數據屬于什么樣分類分級的級別,我們有相應的標簽,這是我們自己形成的一個標簽庫。
第二我們會有一個安全策略庫。安全策略庫就是針對敏感數據, API 的設計應該是要采用什么樣的策略,比如說要用什么樣的加密算法、加密手段、加密密鑰,要用什么樣的脫敏算法去做脫敏,要用什么樣的認證和鑒權的協議,要去有相應的安全策略庫。這個策略和你的標簽是對應的關系。我們安全網關其實是一個檢測引擎,你在訪問的時候,所有在流經安全網關檢測的時候,會根據你的標簽去對應你的安全策略,然后檢查你的安全策略是不是滿足這樣的一個標簽的特征。這樣就能夠把整個過程中的數據安全的分類分級和它的安全策略對應起來,也能在合規上和在安全上真正能夠做到每一個的數據流轉都是安全的。這里面核心技術主要是標簽策略和引擎。
這個產品的特征我們是這樣來定義。
第一個它是比較全面的。全面覆蓋了我的數據安全,無論你是從生命周期的角度來看,還是從數據流的角度上來看,都是全面會覆蓋的。
第二個它是標準化的。第三個是自動化的,通過引擎去做的。第四個它是可視化的,我們所有的都能夠跟蹤和分析。另外它是可管可控。
但是我們這個東西也在前期的測試階段,在一些業務上,在一些灰度的場景上在跑,大家感興趣的話可以進行進一步的去探討。但是因為我們不是服務廠商,這是我們自己在實際工作中碰到的問題。就是數據安全這個事情,到底什么樣的產品能夠真正的解決真正的滿足,需要不斷探索。但今天在這個場合大家談 API 安全,為什么拿出來這個事情來說?其實還是因為 API 這個事情才是解決數據安全問題的關鍵環節。
如需下載本次演講完整版PPT
點擊下方“閱讀原文”即可
