技術(shù)干貨 | API網(wǎng)關(guān)安全

API網(wǎng)關(guān)是Infini API平臺系列核心產(chǎn)品之一，我們在上篇文章（技術(shù)干貨 | API網(wǎng)關(guān)與服務(wù)安全最佳實踐）介紹API網(wǎng)關(guān)設(shè)計特點、主要功能、重要場景等方面。

本文主要從API網(wǎng)關(guān)的WAF動態(tài)安全防護(hù)、安全認(rèn)證、加解密、加驗簽、限流、API鑒權(quán)的層面進(jìn)行著重闡述。

隨著IOT設(shè)備、移動端應(yīng)用、云端應(yīng)用的快速發(fā)展，內(nèi)外網(wǎng)的交互越來越多，那么安全問題也對IT部門提出了更高的挑戰(zhàn)，有以下幾個方面：

根據(jù)實踐經(jīng)驗以及客戶的要求API安全主要分為安全防護(hù)、安全認(rèn)證、進(jìn)入控制、API鑒權(quán)、合規(guī)性審查幾個方面，包含了從DMZ區(qū)到APP區(qū)的整個過程的安全防護(hù)以及防止敏感信息泄露。

在上篇文章我們已經(jīng)做了部分闡述，WAF主要是Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP和HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款安全模塊，WAF是安全防護(hù)是第一道防護(hù)大門，他主要是對流量進(jìn)行過濾和清晰，防止流量深入到后端服務(wù)，造成不可控的事件發(fā)生。

安全防護(hù)主要分為事前監(jiān)控、事中防護(hù)、事后審計。

事前監(jiān)控主要是分為：可用性監(jiān)控、安全態(tài)勢監(jiān)控、漏洞風(fēng)險監(jiān)控、內(nèi)容問題監(jiān)控、敏感信息監(jiān)控。

事中防護(hù)主要分為：注入攻擊防護(hù)、跨站攻擊防護(hù)、盜鏈攻擊防護(hù)、掃描攻擊防護(hù)、篡改攻擊防護(hù)。

事后審計主要分為：安全事件審計、訪問行為審計、系統(tǒng)狀態(tài)審計、漏洞解決方案、攻擊報文摘要、篡改內(nèi)容恢復(fù)。

隨著等保2.0的發(fā)布，安全防護(hù)是等保很重要的一塊內(nèi)容，API網(wǎng)關(guān)上的WAF產(chǎn)品可以滿足這個需求，還可以靈活定制，但是大部分WAF產(chǎn)品誤報很嚴(yán)重，需求上需要實現(xiàn)API細(xì)粒度的防護(hù)。并可以進(jìn)行定制化進(jìn)行告警。

我們一般實現(xiàn)的策略是通過限流、熔斷、降權(quán)，限流的策略有很多種，我們需根據(jù)用戶維度、APP維度、IP維度進(jìn)行限流。

限流一般都是事前預(yù)測，比如我們的后端服務(wù)只能夠保證1000TPS的處理，那么配置的時候不能超過這個數(shù)字，當(dāng)然到達(dá)800TPS的時候，我們要通過告警進(jìn)行事前感知。

限流其實還流量調(diào)度平臺進(jìn)行結(jié)合使用，當(dāng)發(fā)生流量過大的時候是否可以通過服務(wù)降權(quán)以及熔斷來保護(hù)后端服務(wù)，方案如下圖：

我們主要是通過傳輸層HTTPS協(xié)議、加密解密敏感報文、加簽和驗簽整個報文來保證傳輸?shù)臄?shù)據(jù)不被篡改。

這一塊主要和API鑒權(quán)有關(guān)系，API鑒權(quán)主要的關(guān)聯(lián)方：開發(fā)者門戶、APP、API，有些企業(yè)也會有產(chǎn)品的維度，不過是一個虛擬維度。API鑒權(quán)還要配合Oauth2認(rèn)證中心來保證資源不被非法調(diào)用。