圖 2:API 風(fēng)險(xiǎn)分析文章來源:API Security in a Cloud-Native World
每個(gè) API 端點(diǎn)都會(huì)對(duì)應(yīng)用程序及其數(shù)據(jù)造成不同的風(fēng)險(xiǎn)。各種因素都會(huì)影響總體風(fēng)險(xiǎn),每個(gè)因素都有各自的權(quán)重,例如敏感數(shù)據(jù)暴露、缺少授權(quán)和訪問控制。安全團(tuán)隊(duì)需要了解與 API 和底層工作負(fù)載相關(guān)的所有風(fēng)險(xiǎn)因素,以確定風(fēng)險(xiǎn)的優(yōu)先級(jí)并采取主動(dòng)措施。
Prisma Cloud 可幫助團(tuán)隊(duì)識(shí)別 API 風(fēng)險(xiǎn)、風(fēng)險(xiǎn)因素并確定補(bǔ)救措施的優(yōu)先級(jí)。通過在開發(fā)和構(gòu)建期間掃描 API 定義文件,開發(fā)人員可以在 API 投入生產(chǎn)之前防止其配置錯(cuò)誤、結(jié)構(gòu)不當(dāng)和模式不正確。
OWASP 安全項(xiàng)目指出,“API 安全側(cè)重于了解和緩解應(yīng)用程序編程接口 (API) 特有漏洞和安全風(fēng)險(xiǎn)的策略和解決方案。”但是,許多聲稱為 API 提供實(shí)時(shí)或運(yùn)行時(shí)保護(hù)的 API 安全解決方案僅提供可見性。而沒有保護(hù)的可見性并不是安全性。
在理想情況下,API 安全性從 API 構(gòu)建時(shí)開始,并持續(xù)到運(yùn)行時(shí)。Prisma Cloud 很自豪能夠?yàn)槟?API 提供實(shí)時(shí)保護(hù),以抵御 OWASP Top 10 for API 中的攻擊以及速率限制、惡意機(jī)器人等。
此外,我們還提供可自定義的規(guī)則,因此團(tuán)隊(duì)可以根據(jù)其特定場(chǎng)景和環(huán)境定制規(guī)則。用戶還可以啟用我們的威脅研究團(tuán)隊(duì)針對(duì)已知漏洞創(chuàng)建的虛擬補(bǔ)丁,這樣您就可以修補(bǔ)應(yīng)用程序,并讓您的團(tuán)隊(duì)有時(shí)間修復(fù)漏洞。
由于應(yīng)用程序開發(fā)速度快,如果沒有自動(dòng)化,跟蹤與 API 相關(guān)的風(fēng)險(xiǎn)將非常困難。但是,API 安全首先要全面了解 API 在云環(huán)境中帶來的風(fēng)險(xiǎn)。
Prisma Cloud 的冬季版本通過 API 風(fēng)險(xiǎn)分析增強(qiáng)了 API 安全功能。此新功能可幫助團(tuán)隊(duì)根據(jù)環(huán)境中所有 API 的 200 多個(gè)因素了解和確定風(fēng)險(xiǎn)優(yōu)先級(jí)。現(xiàn)在,您可以最大限度地減少 API 攻擊面,并根據(jù)風(fēng)險(xiǎn)因素(例如配置錯(cuò)誤、敏感數(shù)據(jù)暴露和缺乏身份驗(yàn)證)管理保護(hù)。
圖 2:API 風(fēng)險(xiǎn)分析文章來源:API Security in a Cloud-Native World