云原生架构中的Web及Web API安全

Posted 华讯网络系统有限公司

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了云原生架构中的Web及Web API安全相关的知识,希望对你有一定的参考价值。

随着市场需求和技术发展的需要,企业的Web应用架构已经逐渐从单体应用(将应用所有功能都开发和打包在一起),开始向微服务转变。 


微服务是一种云原生架构方法,其中单个应用程序由许多松散耦合且可独立部署的较小组件或服务组成。这些服务通常是单一职责的,面向服务的。一个微服务解决一个业务问题,并将自己的业务能力封装并对外提供服务,一个微服务本身也可能使用到其它微服务的能力。


云原生架构解决了单体应用的诸多问题,微服务松耦合的方式使得微服务之间相对独立又互相协作。

云原生架构中的Web及Web API安全

Web API是Web应用程序接口。包含了广泛的功能,网络应用通过API接口,可以实现存储服务、消息服务、计算服务等能力,利用这些能力可以进行开发出强大功能的web应用。随着Web应用的普及,API接口已经是Web应用、移动互联网以及SaaS服务等领域的重要组成部分。

 

Web应用承担了企业内部信息管理及外部业务处理的主要工作,因此Web业务也成为了入侵者的首要攻击/入侵目标,入侵者利用企业Web应用程序的漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。


OWASP (Open Web Application Security Project)组织分别给出了Web应用和Web API面临的最重要的安全风险,即著名的OWASP Top 10项目。

云原生架构中的Web及Web API安全
云原生架构中的Web及Web API安全


在云原生架构下,微服务和Web API之间(所谓“东西向访问”)相互调用的流量无法便捷的通过容器外的手段来检测,因此需要新的技术和架构来统一考虑容器环境下的Web应用及Web API的安全。


华讯网络总结多年的客户经验,推出了能适应云原生架构的Web应用及Web API防护解决方案,能够针对包含OWASP TOP 10 及OWASP API Security TOP 10在内的安全风险进行防护。

如图所示,解决方案包含下一代防火墙(NGFW)、Web应用防火墙(WAF)、RASP(Runtime application self-protection)等组件。其中NGFW和WAF提供“南北向访问”的网络和应用威胁防护;RASP则通过内置应用插件的模式,主要解决“东西向访问”安全问题。以部分常见的OWASP Security Top 10为例:

OWASP Top 10-A1, OWASP API Top 10-8 —— 注入:

注入攻击往往是应用程序缺少对输入进行安全型检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入攻击包括SQL注入,OS注入,LDAP注入,HQL注入等。注入可以导致数据丢失或被破坏,缺乏可审计性或拒绝服务。注入漏洞有时甚至可导致完全接管主机。

WAF和NGFW可以基于字段特征或者应用签名识别注入操作并阻止恶意连接。同时通过对WAF策略的调整,可以对操作和对象的细粒度权限控制,可以防止应用访问一些敏感表,比如防止对SQL注入侦察阶段常用的系统表的访问。

对于云原生架构内的注入攻击,RASP可以通过程序语言理论安全 (Language Theoretic Security, LANGSEC)机制,利用上下文理解是否为合理的命令提交,并利用白名单限制一切不确定的命令。了解指定情境下的工作负载是如何运行,并抵御已知和零日攻击。

OWASP Top 10-A3 —— 敏感信息泄露:

90%的网站都会存在信息泄露。比如用户身份证或手机号,公司网站源代码等。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗用、或其他犯罪行为,未加密的敏感数据容易遭受破坏。

NGFW和WAF可以通过特征字符匹配,检测和阻断Web应用的敏感数据发送行为,比如信用卡数据或个人身份信息,防止出现由于应用配置不当或攻击导致的信息泄露。

OWASP Top 10-A7 —— 跨站脚本:

跨站脚本是最普遍的Web应用安全漏洞。当应用程序在发送给浏览器的页面中包含用户提供的数据,但没有经过适当验证和转义,就会导致跨站。攻击者在受害者浏览器中执行脚本以劫持用户会话,插入恶意内容,重定向用户,使用恶意软件劫持用户浏览器等。

WAF可以对常见的跨站脚本进行特征检测,且通过采用动态建模实现自动化安全,通过检查实时流量,自动创建应用程序结构和动态的全面模型,在保障应用正常访问的同时阻断非法流量。

OWASP Top 10-A10, OWASP API Top 10-10 —— 不足的日志记录和监控:

大多数缺陷研究显示,缺陷被检测出的时间超过200天,且通常通过外部检测方检测,而不是通过内部流程或监控检测。不足的日志记录和监控使攻击者能够有时间发起进一步攻击,或横向攻击更多系统,以及篡改、提取或销毁数据。

云原生架构中的流量在很多企业中一直是日志记录和监控的盲区,而RASP组件深入应用运行环境内部,实时了解数据和事件流,可以检测到具体的执行错误代码位置,针对每个微服务和API网关遭受攻击情况生成热力图,可以有效记录和监控东西向流量中存在的威胁。


华讯网络的应用安全解决方案,满足等级保护对于传统业务和云环境的应用安全合规要求,包含边界防护、访问控制、恶意代码防范、安全审计等方向。解决方案能够为云原生架构中的Web应用和Web API提供精准防护,应对注入、认证绕过、跨站脚本、暴力破解等各类Web攻击手段,在应用漏洞补丁修复前,通过调整策略快速实现攻击防护,避免服务器被非法入侵,保障业务的安全稳定运行。



以上是关于云原生架构中的Web及Web API安全的主要内容,如果未能解决你的问题,请参考以下文章

云原生时代下,如何守护无处不在的API通信

云原生应用安全微服务架构下API业务安全分析概述

云原生时代,Web零信任来了

云原生应用安全云原生应用安全风险思考

从阿里云容器攻防矩阵&API安全生命周期,看如何构建金融安全云原生平台

从阿里云容器攻防矩阵&API安全生命周期,看如何构建金融安全云原生平台