网易首页 > 网易号 > 正文 申请入驻

云原生API安全治理标准解读 落地实践需与业务相结合

0
分享至

云原生概念从2013年就已经提出了,最近几年该技术发展迅猛,标准到实践相对更加成熟。对企业来说云原生是一种既能够省成本,又能够提升效率,还能增强稳定性的一种架构,同时云原生还能够很好跟人工智能和大数据等上层技术、新应用相结合。但云原生技术带来其独到的优势之余,其本身架构的变革也引入了新的安全风险。

11月16日下午,由中国信息通信研究院主办,云原生安全实验室承办的“原”动力第8期—云原生 API 安全治理沙龙于线上成功举办。本次沙龙邀请到多位行业专家与业界顶尖厂商,共同探讨云原生 API 安全治理的防护思路、研究成果和发展趋势。

中国信通院云大所云计算部高级业务主管杜岚在沙龙活动中分享指出,根据信通院‍‍持续调研显示,安全性已经连续两年成为企业用户云原生化的最大顾虑,而在企业内部,云原生安全领域的能力建设刚刚起步,20%的用户云原生环境没有任何安全防护。“云原生的安全建设是原生化转型的必备项能力,目前,企业一侧更多是具备一些容器安全或者应用安全的单点防护能力。”

据介绍,‍‍信通院云大所在云原生安全领域做了很多相关工作,在政策支撑和产业研究方面,‍‍其全面支撑了国家部委的相关政策文件的制定,如《企业上云用云实施指南(2022)》,‍‍在云原生安全产业研究方面,包括‍19年发布的《云原生技术实践白皮书》,20年发布的《云原生产业发展白皮书》,21年发布的《云原生架构安全白皮书》和《中国云原生用户调查报告》。在今年,机构推进了《云原生安全趋势洞察》和《中国云原生安全用户调查报告》。

在平台搭建和生态建设方面,‍‍信通院在2020年成立了云原生安全工作组,在今年6月份,机构联合清华大学和腾讯云发起成立了云原生安全实验室,‍实验室汇聚了众多行业顶尖专家学者,实验室成员单位已近40家,共同开展云原生安全标准制定,技术合作、平台工具建设、产业研究,‍行业交流等等工作。

在标准和评估体系建设方面,信通院‍‍从19年开始牵头制定了包括国内首个容器安全的标准制定,至今已经建立了相对完善的云原生安全标准评估体系,包括《云原生能力成熟度 第3部分:架构安全》、《‍‍基于容器的平台安全能力要求》、《云原生安全能力要求 第1部分:API 安全治理》、《云原生应用保护平台(CNAPP)能力要求》,以及推进当中的《云原生托管服务(MSS)能力要求》等云原生安全标准。

《云原生安全能力要求 第1部:API 安全治理》标准解读

‍‍对应沙龙活动内容,杜岚重点分享了《云原生安全能力要求 第1部:API 安全治理》标准制定的相关情况,这项标准在2021年12月9日中国信息通信标准化协会(CCSA)TC1 WG5的第19次工作组会议上成功立项,目前经过五轮研讨已形成标准征求意见稿。

另据了解,参与该标准编制的企业包括阿里云、腾讯云、华为云、瑞数信息、星阑科技、中移信息、用友网络、新华三、小佑科技、青藤云、天融信、悬镜安全、百度、中移云能、安易科技等(排名不分先后)。

杜岚指出,云原生化之后,从基础架构层、到微服务业务层都会有很多标准或非标准的 API,即充当外部与应用的访问入口,也充当应用内部服务间的访问入口。这项标准的制定背景即对应了云原生化的 API 数量的急剧增加、调用频繁复杂、攻击面扩大等风险。标准将适用于指导用云企业构建 API 安全治理能力,适用于规范相关云平台、安全产品及解决方案的能力水平与服务质量。

《云原生安全能力要求 第1部:API 安全治理》划分了六大标准框架,分为 API 资产管理、API 风险评估、API 权限控制、‍‍API 安全监测、API 安全响应以及审计与溯源。

1‍‍、API 资产管理:API 资产可视可管是云应用 API 安全治理的基础。API 资产管理能力设计应能够自动化覆盖存量及增量业务的 API,同时能够从不同视角对资产进行管理。

其中 API 资产管理能力分为三个子项能力,分别是 API 资产发现、敏感数据识别、统一管理。‍‍三大章节所要解决的问题核心是 API 资产的多源发现和统一可视化管理,并且强调了应以数据角度对 API 进行分类管理,避免潜在的数据泄露事件发生。

2、API 风险评估:应根据API攻击面及业务需要建立不同维度的 API 威胁识别、风险评估能力,在 API 资产被攻击之前主动进行安全检测,收敛攻击面、降低 API 整体防护成本。包含风险的检测、评估以及修复(建议)等。

API 风险评估同样分为三个子项能力,分别是脆弱性评估、业务逻辑漏洞检测、应用漏洞检测,对应了 API 设计或配置不当等原因产生的安全风险、API 因业务逻辑设计不当产生的安全风险、及中间件 API 漏洞、Web API 漏洞、业务 API 代码漏洞等风险。

3、API 权限控制:面向云原生平台及应用 API 访问的认证、鉴权和安全控制。

权限管理、访问控制、安全通信是 API 权限控制的三个子项能力,权限管理对应‍‍ API 细粒度的访问权限设置,包括资源操作的权限,面向用户的权限和面向服务的权限,以及对权限全生命周期的管理‍‍和一些权限策略的建议生成。访问控制对应通过多种认证和鉴权的方式,‍‍去防止 API 资源不被恶意篡改和滥用。安全通信强调 API 通信数据的机密性和完整性,如利用通信加密方式。

4‍‍、API 安全监测:对 API 交互过程中的运行状态、交互行为和数据流进行监测,发现 API 安全攻击和异常行为。

API运行状态监测、安全攻击检测、数据流转监测、异常行为识别是 API 安全监测的四个子项能力,API 运行状态监测包括 API ‍‍响应时长、访问状态、异常流量和接口访问合规性等。‍安全攻击检测能力要求对 API 请示流量进行识别,检测流量中的恶意代码,识别针对 API 接口的安全攻击行为。‍数据流转监测能力需要对 API 流量交互中的数据流转进行监测,从而识别数据流转中的敏感信息。异常行为识别方面要求对 API 接口的访问行为进行分析、识别,利用行为模型学习构建检测异常。

5、API 安全响应&审计与溯源:发现攻击和异常后的响应能力,以及事后的审计溯源能力。

在 API 安全响应方面,标准要求建立精细的响应策略和丰富的响应手段,同时强调对敏感数据的阻断脱敏、分级分类管制、以及与第三方数据安全产品之间的开放性与可扩展性。‍‍溯源审计和溯源方面,标准要求‍‍首先要面向 API 日志的采集与审计分析,同时还有安全事件的工具溯源分析。由于 API 独立的攻击溯源能力是有限的,所以标准更多强调的是‍‍和其他威胁情报或安全产品的关联分析和联合‍‍态势处置等。

‍‍据悉,‍‍信通院后续会持续完善云原生安全标准评估体系。‍

云原生环境 API 安全治理实践分享 应深入业务不断进行优化策略调整

瑞数信息技术总监吴剑刚在沙龙活动分享《云原生环境 API 安全治理实践》时指出,随着数据中台、微‍‍服务、云原生等技术的深入应用,大量 API 被广泛应用在数字生活的每个领域,伴随着业务接入渠道的丰富,API 的安全问题必须受到企业重视。

吴剑刚分享列举了一系列国内的因为 API 管控不当导致的数据泄露事件,并强调 API 所带来的安全隐患是需要全行业共同面对的多维度的安全风险,以卫生和健康行业为例,因为疫情的原因 ‍‍API 的访问量就增涨了900%。

总结云原生环境下 API 安全面临的挑战时吴剑刚表示,云原生架构的特点是资产增长快,且访问不经过边界设备,这带来了防护方式的不同。为应对云原生环境下 API 安全治理挑战,瑞数信息构建了一整套深入云原生环境下的全新防护思路,从感知、发现、监测到保护的闭环能力为用户构建为云原生 API 安全能力。

在活动现场,吴剑刚分享了瑞数信息云原生环境下 API 安全解决方案的诸多技术细节点,包括云原生环境流量采集的具体实践、云原生环境 API 监测和管控于一体的防护架构的实现方式等,并对一些关键点如 API 接口资产管理、API 风险检测、敏感数据管控、敏感数据映射、API 访问行为管控等具体技术细节进行了介绍。

在客户实践方面,某客户在云原生化改造之后上线了瑞数 API 安全管控平台,平台部署上线共实现了自动发现和确认 API 资产,并实现了基于业务的分组安全治理。在平台运行过程中,平台可以及时了解当前 API 在合规要求、应用安全等多方面存在的缺陷,明文传输敏感数据等等,以及针对 API 接口的攻击等多维度 API 安全治理,便于后续有针对性的完善 API 安全机制和实时防护。

吴剑刚总结指出,资产梳理是云原生 API 安全治理的基础工作,在安全监测识别方面,缺陷的风险识别和攻击识别缺一不可,基于云原生构架的独特性,更建议采用多维度、多技术提供更强的安全包容性,更加重要的是 API 安全要结合业务不断进行优化策略调整,这样才能够真正让用户用起来。

以一线安全厂商角度观察时吴剑刚指出,现阶段针对 API 的攻击76%的攻击都是以爬虫攻击为主,‍‍针对金融服务的撞库攻击75%以 API 为目标,‍‍80%的数据泄露全是于来自于外部的数据泄露。所以 API 安全治理的核心主要解决的实际上就是 API 安全合规问题和 API 安全风险问题。

中国信通院云大所云计算部主任马飞于沙龙活动中发表致辞,除瑞数信息之外,来自腾讯安全、绿盟科技、星阑科技的安全专家均分享了云原生 API 安全思考与实践。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
彻查!信号强烈!中央升级反腐“天网”!

彻查!信号强烈!中央升级反腐“天网”!

职场资深秘书
2026-07-04 23:45:24
谢杏芳定居西班牙与林丹分居,10岁儿子成未来依靠

谢杏芳定居西班牙与林丹分居,10岁儿子成未来依靠

原梦叁生
2026-06-13 13:48:10
离婚8年后王小玮官宣喜讯,那个主动放手一切的男人,如今怎样了

离婚8年后王小玮官宣喜讯,那个主动放手一切的男人,如今怎样了

胡一舸南游y
2026-07-03 14:22:17
俄太平洋舰队舰艇抵达青岛,将参加中俄“海上联合”黄海演习

俄太平洋舰队舰艇抵达青岛,将参加中俄“海上联合”黄海演习

桂系007
2026-07-05 17:10:54
徐正源用活热鸟,值得提前买断 17岁新星有国脚潜力 瓦吉奇被弃

徐正源用活热鸟,值得提前买断 17岁新星有国脚潜力 瓦吉奇被弃

替补席看球
2026-07-05 15:43:39
温网第6日惊现2大冷门!小威大坂直美出局,7位种子选手惨遭淘汰

温网第6日惊现2大冷门!小威大坂直美出局,7位种子选手惨遭淘汰

快乐加载中21
2026-07-05 00:48:27
普京身着军装出席会议,俄外交部发言人扎哈罗娃:现在的信号很明确,我们将在所有战线上彻底消灭恐怖主义新纳粹败类

普京身着军装出席会议,俄外交部发言人扎哈罗娃:现在的信号很明确,我们将在所有战线上彻底消灭恐怖主义新纳粹败类

极目新闻
2026-07-05 14:52:27
剑桥研究撕开真相:你每天吃的蛋白质,可能只是"不饿死"的量

剑桥研究撕开真相:你每天吃的蛋白质,可能只是"不饿死"的量

爱医斯坦
2026-07-04 11:35:39
4信号暗示中国男篮更衣室或有内讧,杨瀚森王俊杰疑遭本土派排挤

4信号暗示中国男篮更衣室或有内讧,杨瀚森王俊杰疑遭本土派排挤

弄月公子
2026-07-04 21:02:43
高股息的危险,银行股持续下跌藏大信号!

高股息的危险,银行股持续下跌藏大信号!

数据挖掘分析
2026-07-05 08:55:51
坐在人群中的谷爱凌,身姿健壮,人高马大,长相十分漂亮!

坐在人群中的谷爱凌,身姿健壮,人高马大,长相十分漂亮!

兵哥观世界
2026-07-03 22:30:58
不打垮中国不罢休?内鬼身份曝光让人意想不到!还好结局大快人心

不打垮中国不罢休?内鬼身份曝光让人意想不到!还好结局大快人心

阿策聊实事
2026-07-04 04:37:57
阿媒:阿根廷战埃及首发或换三处,梅西锋线搭档再成疑问

阿媒:阿根廷战埃及首发或换三处,梅西锋线搭档再成疑问

懂球帝
2026-07-05 06:40:06
法国能源巨头感叹:中国两周,法国两年

法国能源巨头感叹:中国两周,法国两年

观察者网
2026-07-05 14:26:05
特斯拉 FSD 国内落地最新进展

特斯拉 FSD 国内落地最新进展

新浪财经
2026-07-05 03:06:38
哈佛大学惊人发现:寿命长的人,从来不是靠多运动,而是靠这3点

哈佛大学惊人发现:寿命长的人,从来不是靠多运动,而是靠这3点

千秋文化
2026-06-21 19:47:58
喜马拉雅一妻多夫制,夜里轮流陪,女人崩溃吐实:每一天都是折磨

喜马拉雅一妻多夫制,夜里轮流陪,女人崩溃吐实:每一天都是折磨

凉了时光人
2026-06-29 10:45:32
张召忠为何消失了?

张召忠为何消失了?

新浪财经
2026-07-04 00:53:09
玥儿假期太幸福!和爸爸逛环球影城,奶奶又带她看艺术展,好开心

玥儿假期太幸福!和爸爸逛环球影城,奶奶又带她看艺术展,好开心

挂肚逍遥心
2026-07-05 16:45:53
那把U型锁,不过是复旦沈逸教授换成了话筒

那把U型锁,不过是复旦沈逸教授换成了话筒

文史非常道毕延河
2026-07-05 16:16:39
2026-07-05 20:56:49
安全419 incentive-icons
安全419
中国网络安全产业资讯媒体
1344文章数 204关注度
往期回顾 全部

科技要闻

华为:逻辑折叠将大幅提升麒麟CPU核心频率

头条要闻

世界杯带火岛国佛得角 当地中国人:最近国人多了起来

头条要闻

世界杯带火岛国佛得角 当地中国人:最近国人多了起来

体育要闻

姆巴佩点走巴拉圭:巴黎三代左锋传承

娱乐要闻

霉霉婚礼照片泄露 有四人违规

财经要闻

揭秘跨境“对敲”换汇黑产

汽车要闻

方程豹钛9内饰曝光 用上了长联屏设计/下半年上市

态度原创

本地
亲子
时尚
手机
公开课

本地新闻

国内足球之旅?这座小城给你高分答案

亲子要闻

奉劝大家:超市里这5种食物少给孩子吃,看似有营养,实则没好处

3年赚46亿,杨幂喊出一个安徽富豪

手机要闻

全网吵翻!到底是谁带头取消了有线耳机?网友:错怪苹果了

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版