基于零信任的API数据安全管控

一、API数据安全现状

近年来伴随着通信技术高速发展，人们对应用程序的依赖逐渐增强。应用无论在经济活动或民生需求层面都成为了不可或缺的重要工具，金融、教育、交通、医疗等各领域内应用互联互通现象频繁出现，“单点式应用”已经难以服务数据时代的庞大数据量。

在各类内部、外部应用数量呈现指数型增长的情况下，应用数据已经作为生产要素逐步转变为企业发展乃至国家发展的重要战略资产。尤其在云原生时代，应用的颗粒度被更加细化，大多数应用以微服务的形态出现，服务之间的协同交互访问频率更高、关系更加复杂。同时成倍的数据访问带来的风险也是呈指数型增长的，传统网络安全产品单靠固化的访问控制逻辑显得捉襟见肘。

二、API安全重要性

API 无论在应用开发、应用发布、应用数据共享时都被频繁使用，故而近年来API攻击也正成为主要的非法数据获取手段。应用API可能存在身份验证和授权损坏、缺乏速率限制和代码注入等漏洞，而在几类攻击中最常见、危害最大的就是身份认证及授权问题。攻击者通过破坏身份验证令牌或利用实现中的缺陷以一次性或永久地冒充另一个用户，此后接受用户输入并使用它来访问数据源的函数都产生级别访问控制问题，扩大攻击面，造成数据泄露、篡改等安全事故。

三、零信任API数据安全管控整体介绍

传统的 IT 网络架构中，安全建设的重心往往聚焦于内外网隔离、边界部署防护等等边界类安全产品上，从而导致整体安全防御能力重边界、轻纵深，面对攻击者的横向扩展束手无策。尤其在政府行业中，各个局委办把数据统一交到政务大数据中心进行数据共享，这其中涉及到大量API调用及数据交换动作。为了能更好地实现政务数据的资源共享，让老百姓体验“一网通办”的同时可以保障整体数据安全，零信任概念抛弃传统网络安全的“内网可信”前提，在调用资源的动作前，授权中心认为所有的用户身份都为不可信状态，需要逐一进行鉴权、认证。零信任安全模型跟传统的网络接入控制模型不同，通过网络隐身技术实现先认证后连接，端口不暴露在外部环境中，从而达到了服务隐身的效果，最大程度保障服务资源的安全性。同时基于零信任的API数据安全管控采用流量代理网关的模式，通过全流量代理网关作为统一入口，对特定的应用由应用代理模块进行控制，处理各种 C/S 和 B/S 的应用。

简而言之，零信任打破了信任和网络位置的固定关系，通过动态持续监测各参与对象的安全状态，对其重建信任评估，然后进行动态调整权限、降权、阻断等强管控手段。

四、亮点功能详解

1、服务隐身

2013年，国际云安全联盟提出软件定义边界（Software-Defined-Perimeter，即SDP）安全模型作为零信任的最佳实践，原理基于身份和上下文的逻辑访问边界，SDP从架构设计上就只允许可信任的业务报文通过，同时丢弃不合法报文。其中“服务隐身”作为最核心的关键技术之一主要目的是克服互联网协议在数据传说过程中的开放性，而在客户端链接控制器和网关之前，都需要进行一次SPA（Single Packet Authorization）单包认证，通过后才能成功连接上控制器和网关，在认证成功之前，控制器和网关对于客户端是不可见也不可使用的，从而达到了服务隐身的效果。

由此，SPA可以看做通信层的访问保护，主要在网络通信层保护防火墙之后的后端服务。SPA首包认证作为网络通信的授权认证手段，可以有效地防范未信任数据包的风险。而想要达到“服务隐身”的效果同时也需要资源侧提供相对应的支持，例如隐身服务无监听端口、具备高性能处理条件、多因子认证策略、异常SPA报文初步校验等等。

2、流量代理网关

网关作为零信任体系中的基础组件承担着数据获取责任，使用四层流量代理方式，终端在有 Agent 的情况下，可通过网络过滤驱动将本地流量转发给零信任网关。在基于零信任的API数据安全监控体系中，以流量代理作为主要数据获取来源。透明代理的方式既避免了大量接入客户端修改配置目标地址也便于后续进行流量收集、解析。

访问流量经过零信任的数据流首先到达流量代理网关，网关会向访问控制中心获取该用户的相关信息及授权，一旦身份验证失败则会要求用户访问控制中心进行再次身份认证，认证若通过则是由控制中心下发用户身份验证信息给代理网关，之后代理网关代替访问主体去访问业务系统。四层流量代理可以实现B/S 与 C/S 应用全局代理，因此可以实现更精准的数据分析，提高安全检测能力。此外该模式下，C/S应用不需要改造，可以直接接入零信任体系中，减少了对业务的入侵性。

3、细粒度授权、鉴权

细粒度鉴权主要针对核心应用，例如交易系统、对账系统等等，这类应用往往具有高频次访问、敏感数据多、数据价值高等特点。因此在零信任API数据安全监控体系中会包含单独的访问控制服务器，该服务器为管理员提供细粒度授权管理，包括数据脱敏配置、访问频次配置、返回数据量配置等安全策略。管理员可针对人员、应用等不同角色身份进行灵活配置，高度适配企业内部场景。

流量经由网关交由访问控制服务器时会对当前访问者身份进行鉴权，只有符合资源权限方可放行，转发至最终资源服务器，妥善解决了不同应用、不同访问者API调用及数据获取权限的动态场景。同时基于机器学习以及对象安全状态进行动态升降权调整也是零信任体系中的核心概念，例如某应用虽然以合法方式登录获取令牌，但登录IP为境外IP、登录时间为凌晨2点，则访问控制服务器会认为该行为存在风险，自动进行权限降级处理，仅支持获取100条用户数据，超量则触发告警，有效避免用户登录令牌丢失、窃用造成的企业数据损失。

4、异常行为分析

常见的零信任网关通常将能力聚焦于请求处理、分发、鉴权，而忽视了网关的数据基础带来的分析价值，零信任API数据安全监控体系将请求来源数据作为核心基础数据，在捕获异常请求的第一时间将会触发阻断及告警机制，同时采用可扩展性和洞察力更高的UEBA框架进行安全分析，基于机器学习方法将用户行为与用户实体进行关联分析得出隐藏风险和内部威胁的行为并产出周度、月度、季度行为分析报告，如越权访问、高频次访问、敏感数据透出、改进建议等报告项，协助用户及早发现问题、定位问题，将安全风险扼杀在摇篮中。

五、总结

工信部2019年起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》提出，要积极探索可信计算、零信任等网络安全的新理念、新架构，促进网络安全理念和技术的创新。零信任作为一种全新安全架构，秉承“永不信任，始终验证。”的核心技术理念并贯穿业务的全过程，涉及数据使用的全生命周期。通过实施最少特权访问，组织可以最大程度地减少攻击面，提高审计和合规性可见性，无论内网还是外网的场景，零信任架构都能够很好地解决企业的数据安全问题。以零信任为基础的安全架构，融合成熟的传统安全能力，在避免重复建设的同时，能够为企业提供全方位的数据安全能力，将现有的安全产品更加立体地结合，形成有效联动，通过动态降权、阻断等方式提升数据安全管控功能，实现API的全流程安全管控。

鹏信科技零信任API数据安全管控方案通过引入持续认证、服务隐身、动态调权等零信任技术，可有效解决传统边界模型对内网过度信任的问题。基于流量代理则减少了企业业务的非法暴露面，推动业务精细化准入，API细粒度业务调用，同时结合UEBA等异常行为监测技术实时发现违规行为并及时阻断，为API数据安全管控提供了全新、高效的解决方案。