API安全性与身份访问管理

关键要点

• API对自动化的影响 ：API驱动的软件开发和部署过程中存在风险的转移。
• 非个人实体（NPE）身份的重要性 ：确保能够清晰地识别访问API的机器。
• 安全团队的关注点转变 ：从关注单一用户的权限转向确保机器身份的可信性。
• 实施DevSecOps措施 ：包括清点机器、识别风险、自动化身份访问管理等。

随着应用程序编程接口（API）在软件开发和部署过程中的广泛使用，自动化带来的便利同时也伴随着新的风险。虽然自动化减少了人工操作带来的错误和安全漏洞，但风险已从人类转移到支持这些API的机器上，因此引入了新的攻击向量。例如，开发者以前通过登录AWS控制台来启动EC2实例，现在则通过如Terraform或CloudFormation的工具以代码方式构建基础设施。

在当前环境中，清晰了解和快速控制访问组织API的机器身份至关重要。在零信任的术语中，这种身份称为非个人实体（NPE）身份，涵盖企业系统、服务和数据的访问。如Gartner在其2022年API热潮周期报告中提到的，和在《互联网安全状况报告》中讨论的那样，这种API通信最近迅速增长。然而，许多组织仍缺乏保护和管理这些API驱动生态系统的框架，以保障这种机器间自动化通信的安全性。

安全团队需要改变关注点，从“如何确保Jill没有获得过多的AWS权限？”转为“我们是否知道拥有API访问权的机器身份，并且信任它们？”这种心态迫使安全领导者将机器和它们执行的工作负载视作用户，就像Jill一样，从而需要为API身份和访问管理（IAM）制定策略。自动化要求工程和安全团队将机器视为一类重要的实体。如果身份真的已成为安全的新边界，那就必须对诸如机器和服务帐户等非个人实体的身份有清晰的可见性。

在API驱动的生态系统中，保护非个人实体（NPE）或非人类实体的重要性在零信任架构框架（如NIST800-207和CISA的零信任成熟度模型）中已有指出。以下是NIST框架的基本要素：

“ZT方法主要集中于数据和服务的保护，但可以且应扩展至所有企业资产（设备、基础设施组件、应用程序、虚拟和云组件）及主体（最终用户、应用程序及其他请求资源信息的非人类实体）。”

那么今天DevSecOps团队可以做些什么来重新审视机器驱动API访问的安全态势呢？以下是一些可行的步骤：