Cloudflare API Shield 簡(jiǎn)介,cloudflare的基本服務(wù)是什么

Cloudflare API Shield簡(jiǎn)介

API是連接到互聯(lián)網(wǎng)的現(xiàn)代應(yīng)用程序的生命線。他們每分鐘都在執(zhí)行來(lái)自移動(dòng)應(yīng)用程序的請(qǐng)求:下這個(gè)外賣(mài)訂單，“喜歡”這張圖片，向物聯(lián)網(wǎng)設(shè)備發(fā)快遞命令，解鎖車門(mén)，開(kāi)始清洗周期，通知某人他們剛剛跑完5000米，以及無(wú)數(shù)其他指令。

旨在執(zhí)行未授權(quán)操作或泄露數(shù)據(jù)的攻擊無(wú)處不在，這些API也是攻擊目標(biāo)。正如Gartner數(shù)據(jù)顯示，“到2021年，90%的Web使能應(yīng)用將因?yàn)殚_(kāi)放API而非UI而擁有更大的攻擊面，2019年這一比例為40%”，“Gartner預(yù)計(jì)，到2022年，API濫用將從不常見(jiàn)的攻擊手段轉(zhuǎn)變?yōu)樽铑l繁的攻擊手段，導(dǎo)致企業(yè)Web應(yīng)用的數(shù)據(jù)泄露”[1][2]。在每秒鐘穿越Cloudflare網(wǎng)絡(luò)的1800萬(wàn)個(gè)請(qǐng)求中，50%是針對(duì)API的，其中大部分是因?yàn)閻阂舛蛔柚沟摹?/p>

為了應(yīng)對(duì)這些威脅，Cloudflare通過(guò)使用強(qiáng)客戶端基于證書(shū)的身份識(shí)別和嚴(yán)格的基于模式的驗(yàn)證，簡(jiǎn)化了API的安全保護(hù)。截至今天，這些功能已經(jīng)在新產(chǎn)品“API Shield”中為我們所有的計(jì)劃免費(fèi)提供給客戶。安全性的優(yōu)勢(shì)也擴(kuò)展到了基于gRPC的API，使用二進(jìn)制格式(比如協(xié)議緩沖區(qū))代替JSON，越來(lái)越受到我們客戶的歡迎。

請(qǐng)繼續(xù)閱讀，了解更多新功能；或者，直接跳到“演示”部分，查看如何開(kāi)始配置第一個(gè)API Shield規(guī)則的示例。

轉(zhuǎn)發(fā)安全模型和客戶端證書(shū)

所謂“前向安全”模型，是指只允許已知行為和身份，拒絕其他一切的模型。它與Web應(yīng)用防火墻(WAF)實(shí)現(xiàn)的傳統(tǒng)“消極安全”模型相反，WAF允許除來(lái)自有問(wèn)題的IP、ASN、國(guó)家或地區(qū)的請(qǐng)求或帶有有問(wèn)題的簽名(SQL注入行為等)的請(qǐng)求之外的所有內(nèi)容。).

實(shí)現(xiàn)API的前向安全模型是消除證書(shū)填充攻擊和其他自動(dòng)掃描工具噪音的最直接方法。要采用前向模型，第一步是部署強(qiáng)身份驗(yàn)證，如雙向TLS身份驗(yàn)證，它不易受重用或共享密碼的影響。

2014年，我們推出了通用SSL來(lái)簡(jiǎn)化服務(wù)器證書(shū)的頒發(fā)。同樣，API Shield可以將頒發(fā)客戶端證書(shū)的過(guò)程簡(jiǎn)化為只需單擊Cloudflare dashboard中的幾個(gè)按鈕。通過(guò)提供完全受管理的私有公鑰基礎(chǔ)結(jié)構(gòu)(PKI)，您可以專注于開(kāi)發(fā)應(yīng)用程序和功能，而不必操作和保護(hù)自己的證書(shū)頒發(fā)機(jī)構(gòu)(CA)。

使用模式驗(yàn)證執(zhí)行有效的請(qǐng)求

一旦開(kāi)發(fā)人員可以確保只有合法的客戶端(擁有SSL證書(shū))可以連接到他們的API，實(shí)現(xiàn)前向安全模型的下一步就是確保這些客戶端發(fā)出有效的請(qǐng)求。很難從設(shè)備中提取客戶端證書(shū)并在其他地方重用它，但這并不是不可能的，因此確保API調(diào)用如預(yù)期一樣也很重要。

API開(kāi)發(fā)人員可能不會(huì)預(yù)料到帶有不相關(guān)輸入的請(qǐng)求，如果應(yīng)用程序直接處理這些請(qǐng)求，可能會(huì)導(dǎo)致問(wèn)題。因此，應(yīng)該盡可能在邊緣丟棄這些請(qǐng)求。在API模式的驗(yàn)證過(guò)程中，它會(huì)將API請(qǐng)求的內(nèi)容(URL后的查詢參數(shù)和POST主體的內(nèi)容)與包含指定預(yù)期內(nèi)容的規(guī)則的契約或“模式”進(jìn)行匹配。如果驗(yàn)證失敗，API調(diào)用將被阻止，以保護(hù)源站免受無(wú)效請(qǐng)求或惡意有效負(fù)載的影響。

驗(yàn)證該模式當(dāng)前正在進(jìn)行JSON有效負(fù)載封閉測(cè)試，并且gRPC/協(xié)議緩沖區(qū)已經(jīng)在路線圖中進(jìn)行了規(guī)劃。如果您想?yún)⑴c測(cè)試，請(qǐng)打開(kāi)主題為“API模式驗(yàn)證測(cè)試版”的支持票。測(cè)試之后，我們計(jì)劃提供模式驗(yàn)證作為API Shield用戶界面的一部分。

展望未來(lái)

在接下來(lái)的幾個(gè)月里，我們計(jì)劃擴(kuò)展API Shield，并添加一些旨在保護(hù)API流量的其他功能。如果客戶想使用自己的PKI，我們還提供導(dǎo)入自己的CA的功能。這些功能目前作為Cloudflare Access的一部分提供。

在收到關(guān)于Beta模式驗(yàn)證的反饋后，我們將嘗試向所有客戶提供該功能。如果您正在試用測(cè)試版，并想分享您的想法，歡迎您提供反饋。

除了證書(shū)和模式驗(yàn)證，我們還將安排其他API安全功能和深度分析功能，幫助您更好地了解API。

1:“到2021年，90%支持Web的應(yīng)用將因?yàn)殚_(kāi)放API而不是UI而擁有更大的攻擊面，2019年的比例是40%”。來(lái)源:Gartner《Gartner的API戰(zhàn)略成熟度模型》，Saniye Alaybeyi和Mark ONeill，2019年10月21日。(需要Gartner訂閱)

2:“Gartner預(yù)測(cè)，到2022年，API濫用將從不常見(jiàn)的攻擊手段變?yōu)樽铑l繁的攻擊手段，導(dǎo)致企業(yè)Web應(yīng)用的數(shù)據(jù)泄露”。來(lái)源:Gartner，“API戰(zhàn)略中的酷供應(yīng)商”，Shameen Pillai、Paolo Malinverno、Mark ONeill和Jeremy DHoinne，2020年5月18日(需要Gartner訂閱)

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。