云原生概念從2013年就已經(jīng)提出了，最近幾年該技術(shù)發(fā)展迅猛，標準到實踐相對更加成熟。對企業(yè)來說云原生是一種既能夠省成本，又能夠提升效率，還能增強穩(wěn)定性的一種架構(gòu)，同時云原生還能夠很好跟人工智能和大數(shù)據(jù)等上層技術(shù)、新應(yīng)用相結(jié)合。但云原生技術(shù)帶來其獨到的優(yōu)勢之余，其本身架構(gòu)的變革也引入了新的安全風險。

　　11月16日下午，由中國信息通信研究院主辦，云原生安全實驗室承辦的“原”動力第8期—云原生 API 安全治理沙龍于線上成功舉辦。本次沙龍邀請到多位行業(yè)專家與業(yè)界頂尖廠商，共同探討云原生 API 安全治理的防護思路、研究成果和發(fā)展趨勢。

　　中國信通院云大所云計算部高級業(yè)務(wù)主管杜嵐在沙龍活動中分享指出，根據(jù)信通院持續(xù)調(diào)研顯示，安全性已經(jīng)連續(xù)兩年成為企業(yè)用戶云原生化的最大顧慮，而在企業(yè)內(nèi)部，云原生安全領(lǐng)域的能力建設(shè)剛剛起步，20%的用戶云原生環(huán)境沒有任何安全防護?！霸圃陌踩ㄔO(shè)是原生化轉(zhuǎn)型的必備項能力，目前，企業(yè)一側(cè)更多是具備一些容器安全或者應(yīng)用安全的單點防護能力。”

　　據(jù)介紹，信通院云大所在云原生安全領(lǐng)域做了很多相關(guān)工作，在政策支撐和產(chǎn)業(yè)研究方面，其全面支撐了國家部委的相關(guān)政策文件的制定，如《企業(yè)上云用云實施指南（2022）》，在云原生安全產(chǎn)業(yè)研究方面，包括19年發(fā)布的《云原生技術(shù)實踐白皮書》，20年發(fā)布的《云原生產(chǎn)業(yè)發(fā)展白皮書》，21年發(fā)布的《云原生架構(gòu)安全白皮書》和《中國云原生用戶調(diào)查報告》。在今年，機構(gòu)推進了《云原生安全趨勢洞察》和《中國云原生安全用戶調(diào)查報告》。

　　在平臺搭建和生態(tài)建設(shè)方面，信通院在2020年成立了云原生安全工作組，在今年6月份，機構(gòu)聯(lián)合清華大學和騰訊云發(fā)起成立了云原生安全實驗室，實驗室匯聚了眾多行業(yè)頂尖專家學者，實驗室成員單位已近40家，共同開展云原生安全標準制定，技術(shù)合作、平臺工具建設(shè)、產(chǎn)業(yè)研究，行業(yè)交流等等工作。

　　在標準和評估體系建設(shè)方面，信通院從19年開始牽頭制定了包括國內(nèi)首個容器安全的標準制定，至今已經(jīng)建立了相對完善的云原生安全標準評估體系，包括《云原生能力成熟度 第3部分：架構(gòu)安全》、《基于容器的平臺安全能力要求》、《云原生安全能力要求 第1部分：API 安全治理》、《云原生應(yīng)用保護平臺（CNAPP）能力要求》，以及推進當中的《云原生托管服務(wù)（MSS）能力要求》等云原生安全標準。

　　《云原生安全能力要求 第1部：API 安全治理》

　　標準解讀

　　對應(yīng)沙龍活動內(nèi)容，杜嵐重點分享了《云原生安全能力要求 第1部：API 安全治理》標準制定的相關(guān)情況，這項標準在2021年12月9日中國信息通信標準化協(xié)會（CCSA）TC1 WG5的第19次工作組會議上成功立項，目前經(jīng)過五輪研討已形成標準征求意見稿。

　　另據(jù)了解，參與該標準編制的企業(yè)包括阿里云、騰訊云、華為云、瑞數(shù)信息、星闌科技、中移信息、用友網(wǎng)絡(luò)、新華三、小佑科技、青藤云、天融信、懸鏡安全、百度、中移云能、安易科技等（排名不分先后）。

　　杜嵐指出，云原生化之后，從基礎(chǔ)架構(gòu)層、到微服務(wù)業(yè)務(wù)層都會有很多標準或非標準的 API，即充當外部與應(yīng)用的訪問入口，也充當應(yīng)用內(nèi)部服務(wù)間的訪問入口。這項標準的制定背景即對應(yīng)了云原生化的 API 數(shù)量的急劇增加、調(diào)用頻繁復雜、攻擊面擴大等風險。標準將適用于指導用云企業(yè)構(gòu)建 API 安全治理能力，適用于規(guī)范相關(guān)云平臺、安全產(chǎn)品及解決方案的能力水平與服務(wù)質(zhì)量。

　　《云原生安全能力要求 第1部：API 安全治理》劃分了六大標準框架，分為 API 資產(chǎn)管理、API 風險評估、API 權(quán)限控制、API 安全監(jiān)測、API 安全響應(yīng)以及審計與溯源。

　　01 API 資產(chǎn)管理：API 資產(chǎn)可視可管是云應(yīng)用 API 安全治理的基礎(chǔ)。API 資產(chǎn)管理能力設(shè)計應(yīng)能夠自動化覆蓋存量及增量業(yè)務(wù)的 API，同時能夠從不同視角對資產(chǎn)進行管理。

　　其中 API 資產(chǎn)管理能力分為三個子項能力，分別是 API 資產(chǎn)發(fā)現(xiàn)、敏感數(shù)據(jù)識別、統(tǒng)一管理。三大章節(jié)所要解決的問題核心是 API 資產(chǎn)的多源發(fā)現(xiàn)和統(tǒng)一可視化管理，并且強調(diào)了應(yīng)以數(shù)據(jù)角度對 API 進行分類管理，避免潛在的數(shù)據(jù)泄露事件發(fā)生。

　　02 API 風險評估：應(yīng)根據(jù)API攻擊面及業(yè)務(wù)需要建立不同維度的 API 威脅識別、風險評估能力，在 API 資產(chǎn)被攻擊之前主動進行安全檢測，收斂攻擊面、降低 API 整體防護成本。包含風險的檢測、評估以及修復（建議）等。

　　API 風險評估同樣分為三個子項能力，分別是脆弱性評估、業(yè)務(wù)邏輯漏洞檢測、應(yīng)用漏洞檢測，對應(yīng)了 API 設(shè)計或配置不當?shù)仍虍a(chǎn)生的安全風險、API 因業(yè)務(wù)邏輯設(shè)計不當產(chǎn)生的安全風險、及中間件 API 漏洞、Web API 漏洞、業(yè)務(wù) API 代碼漏洞等風險。

　　03 API 權(quán)限控制：面向云原生平臺及應(yīng)用 API 訪問的認證、鑒權(quán)和安全控制。

　　權(quán)限管理、訪問控制、安全通信是 API 權(quán)限控制的三個子項能力，權(quán)限管理對應(yīng) API 細粒度的訪問權(quán)限設(shè)置，包括資源操作的權(quán)限，面向用戶的權(quán)限和面向服務(wù)的權(quán)限，以及對權(quán)限全生命周期的管理和一些權(quán)限策略的建議生成。訪問控制對應(yīng)通過多種認證和鑒權(quán)的方式，去防止 API 資源不被惡意篡改和濫用。安全通信強調(diào) API 通信數(shù)據(jù)的機密性和完整性，如利用通信加密方式。

　　04 API 安全監(jiān)測：對 API 交互過程中的運行狀態(tài)、交互行為和數(shù)據(jù)流進行監(jiān)測，發(fā)現(xiàn) API 安全攻擊和異常行為。

　　API運行狀態(tài)監(jiān)測、安全攻擊檢測、數(shù)據(jù)流轉(zhuǎn)監(jiān)測、異常行為識別是 API 安全監(jiān)測的四個子項能力，API 運行狀態(tài)監(jiān)測包括 API 響應(yīng)時長、訪問狀態(tài)、異常流量和接口訪問合規(guī)性等。安全攻擊檢測能力要求對 API 請示流量進行識別，檢測流量中的惡意代碼，識別針對 API 接口的安全攻擊行為。數(shù)據(jù)流轉(zhuǎn)監(jiān)測能力需要對 API 流量交互中的數(shù)據(jù)流轉(zhuǎn)進行監(jiān)測，從而識別數(shù)據(jù)流轉(zhuǎn)中的敏感信息。異常行為識別方面要求對 API 接口的訪問行為進行分析、識別，利用行為模型學習構(gòu)建檢測異常。

　　05 API 安全響應(yīng)&審計與溯源：發(fā)現(xiàn)攻擊和異常后的響應(yīng)能力，以及事后的審計溯源能力。

　　在 API 安全響應(yīng)方面，標準要求建立精細的響應(yīng)策略和豐富的響應(yīng)手段，同時強調(diào)對敏感數(shù)據(jù)的阻斷脫敏、分級分類管制、以及與第三方數(shù)據(jù)安全產(chǎn)品之間的開放性與可擴展性。溯源審計和溯源方面，標準要求首先要面向 API 日志的采集與審計分析，同時還有安全事件的工具溯源分析。由于 API 獨立的攻擊溯源能力是有限的，所以標準更多強調(diào)的是和其他威脅情報或安全產(chǎn)品的關(guān)聯(lián)分析和聯(lián)合態(tài)勢處置等。

　　據(jù)悉，信通院后續(xù)會持續(xù)完善云原生安全標準評估體系。

　　云原生環(huán)境 API 安全治理實踐分享

　　應(yīng)深入業(yè)務(wù)不斷進行優(yōu)化策略調(diào)整

　　瑞數(shù)信息技術(shù)總監(jiān)吳劍剛在沙龍活動分享《云原生環(huán)境 API 安全治理實踐》時指出，隨著數(shù)據(jù)中臺、微？？服務(wù)、云原生等技術(shù)的深入應(yīng)用，大量 API 被廣泛應(yīng)用在數(shù)字生活的每個領(lǐng)域，伴隨著業(yè)務(wù)接入渠道的豐富，API 的安全問題必須受到企業(yè)重視。

　　吳劍剛分享列舉了一系列國內(nèi)的因為 API 管控不當導致的數(shù)據(jù)泄露事件，并強調(diào) API 所帶來的安全隱患是需要全行業(yè)共同面對的多維度的安全風險，以衛(wèi)生和健康行業(yè)為例，因為疫情的原因 ??API 的訪問量就增漲了900%。

　　總結(jié)云原生環(huán)境下 API 安全面臨的挑戰(zhàn)時吳劍剛表示，云原生架構(gòu)的特點是資產(chǎn)增長快，且訪問不經(jīng)過邊界設(shè)備，這帶來了防護方式的不同。為應(yīng)對云原生環(huán)境下 API 安全治理挑戰(zhàn)，瑞數(shù)信息構(gòu)建了一整套深入云原生環(huán)境下的全新防護思路，從感知、發(fā)現(xiàn)、監(jiān)測到保護的閉環(huán)能力為用戶構(gòu)建為云原生 API 安全能力。

　　在活動現(xiàn)場，吳劍剛分享了瑞數(shù)信息云原生環(huán)境下 API 安全解決方案的諸多技術(shù)細節(jié)點，包括云原生環(huán)境流量采集的具體實踐、云原生環(huán)境 API 監(jiān)測和管控于一體的防護架構(gòu)的實現(xiàn)方式等，并對一些關(guān)鍵點如 API 接口資產(chǎn)管理、API 風險檢測、敏感數(shù)據(jù)管控、敏感數(shù)據(jù)映射、API 訪問行為管控等具體技術(shù)細節(jié)進行了介紹。

　　在客戶實踐方面，某客戶在云原生化改造之后上線了瑞數(shù) API 安全管控平臺，平臺部署上線共實現(xiàn)了自動發(fā)現(xiàn)和確認 API 資產(chǎn)，并實現(xiàn)了基于業(yè)務(wù)的分組安全治理。在平臺運行過程中，平臺可以及時了解當前 API 在合規(guī)要求、應(yīng)用安全等多方面存在的缺陷，明文傳輸敏感數(shù)據(jù)等等，以及針對 API 接口的攻擊等多維度 API 安全治理，便于后續(xù)有針對性的完善 API 安全機制和實時防護。

　　吳劍剛總結(jié)指出，資產(chǎn)梳理是云原生 API 安全治理的基礎(chǔ)工作，在安全監(jiān)測識別方面，缺陷的風險識別和攻擊識別缺一不可，基于云原生構(gòu)架的獨特性，更建議采用多維度、多技術(shù)提供更強的安全包容性，更加重要的是 API 安全要結(jié)合業(yè)務(wù)不斷進行優(yōu)化策略調(diào)整，這樣才能夠真正讓用戶用起來。

　　以一線安全廠商角度觀察時吳劍剛指出，現(xiàn)階段針對 API 的攻擊76%的攻擊都是以爬蟲攻擊為主，針對金融服務(wù)的撞庫攻擊75%以 API 為目標，80%的數(shù)據(jù)泄露全是于來自于外部的數(shù)據(jù)泄露。所以 API 安全治理的核心主要解決的實際上就是 API 安全合規(guī)問題和 API 安全風險問題。

　　中國信通院云大所云計算部主任馬飛于沙龍活動中發(fā)表致辭，除瑞數(shù)信息之外，來自騰訊安全、綠盟科技、星闌科技的安全專家均分享了云原生 API 安全思考與實踐。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<