热点:

    云势观察:生态连接背后 API成为众矢之的

      [  中关村在线 原创  ]   作者:徐鹏

        随着业务系统越来越复杂,API不仅成为生态系统之间的交互窗口,更是构建混合业务平台的基础。由此,其也成了黑客眼中一条通往用户端的“捷径”。事实上,已经有不少网络攻击者将API列为首选的入侵目标之一。

        如今,平均每家企业管理的API数量超过360种,其中有接近70%的接口会向合作伙伴开放,而开发者则可以借助API库丰富代码选择,规模往往会达到数万量级。正因如此,才会说调用API对接数据流或触发响应几乎贯穿了每个代码级的交互流程。

        API的可扩展性和可用性适用于多种编程语言,这也使得使用者能够选择自己擅长的语言来进行编程。无论软件处于哪一种形式,API始终伴随其中,并且随着网络环境下的接口越来越开放,其对内部应用的影响力也会随之增加。要知道,像谷歌、亚马逊等公司的业务规模,每天进行的API交互次数至少要达到数百万量级。

        反之,如果没有API,用户在虚拟环境中调用程序时就要手动完成,考虑到成千上万台虚拟机的数量,这种工作量可不是几个人能解决的。对于云计算厂商来说,能否提供足够丰富、足够开放的API,同时确保这些API经过严格的安全测试,在用户选择服务商时有着关键作用。

        然而,任何事都有两面性。网络应用前端随处可见的API逐渐变成了黑客攻击的热点,一旦端口被攻破随之而来的就是大范围的用户信息外泄。通常,企业IT团队会通过API调用和管理云资源、服务编排、应用镜像等服务,而这些服务的可用性很大程度上会依赖于API的安全性,尤其是在客户引入第三方服务的时候,让API暴露在了外部环境中。

        此时,API所面临的挑战往往会体现在几个方面:外部攻击、信息篡改、恶意跟踪。首先还是老生常谈的DDoS攻击,其对关键API的入侵能导致网络大面积瘫痪,并且占用大量计算资源使得程序中断。此外,如果通过API建立联系的用户端和服务器端没有经过特殊加密,很容易造成信息泄露。

        其次是请求参数的篡改,采用https协议传输的明文加密后也有可能被黑客截获,进而将数据包伪造发起重放攻击。这时候,安全证书往往也是难以幸免的,因为黑客会让需求发起方使用“仿制证书”通信,从而获得看似已经被加密的内容。

        再有就是黑客会有意追踪物联网设备的端口,这样可以直接获得API的控制权,或者向标的引入恶意内容设置漏洞陷阱。其实之前所说的重放攻击,就是将已经窃取到的内容再完整的发送给接收方,这也是https无法阻止的。举个例子,虽然黑客不能凭借重复信息盗取密码,但却能在获得加密口令后从后端发起攻击。

        考虑到这些风险,服务商自然也要积极完善API的安全性。举个例子,客户端将密钥添加到参数传输过程中,结合口令发送给服务端,后者进行二次加密后再给出一个口令,通过比对前后两次口令的一致性来认定是否为合法请求。由于黑客无法获知签名密钥,因此既是修改请求参数也不能对其进行签名,更不能获得之后的口令。

        除此之外,云服务商也会使用API认证或API网关来监控代码库中API的状态,不仅注视着流量和分析处理进程,还会执行相应的安全策略有效削减DDoS攻击的风险。有数据显示,超过60%的企业正在使用网络应用防火墙或API网关构建混合方案来保护数据。

        API在复杂环境中扮演的角色愈发重要,自然也就成为了黑客的关注重点。要想让API为企业用得放心,除了要在应用端建立防护措施,更要在代码上线前对API进行测试,尽力消除可能存在漏洞,将风险降到最低。

    本文属于原创文章,如若转载,请注明来源:云势观察:生态连接背后 API成为众矢之的http://cloud.zol.com.cn/693/6933293.html

    cloud.zol.com.cn true http://cloud.zol.com.cn/693/6933293.html report 2676 随着业务系统越来越复杂,API不仅成为生态系统之间的交互窗口,更是构建混合业务平台的基础。由此,其也成了黑客眼中一条通往用户端的“捷径”。事实上,已经有不少网络攻击者将API列为首选的入侵目标之一。如今,平均每家企业管理的API数量超过360种,其中有接近70%的接...
    • 猜你喜欢
    • 最新
    • 相关
    推荐经销商
    投诉欺诈商家: 400-688-1999
    • 北京
    • 上海
    周关注排行榜
    • 产品
    • 品牌
    推荐问答
    提问
    0

    下载ZOL APP
    秒看最新热品