甚麼是應用程式介面(API)防護?

Tball

應用程式介面防護是一種網絡資訊保安方式,涵蓋了各種通訊協定、流程及應用程式介面的最佳實務守則,防範資料洩漏、未經授權的存取及其他威脅。

應用程式介面防護結合了各式各樣的工具來協助企業防範應用程式介面遭入侵。它能保護敏感與機密資訊,保護網站與流動應用程式、雲端,及物聯網裝置。

什麼是應用程式介面?

應用程式介面是程式碼為基的規則和通訊協定,可讓不同的軟件應用程式彼此互動、通訊及分享資料。

由於應用程式介面會跟不同的應用程式溝通,並且在應用程式之間交換資料,因此黑客也可能有機會存取應用程式、執行系統及所攜帶資料。

應用程式介面防護如何運作?

應用程式介面防護採用認證與授權、主動式存取控管、資料加密技術及威脅偵測與回應措施等工具來防範應用程式介面的各種意外及惡意威脅,包括:

  • 資料外洩
  • 資料竊取或濫用
  • 分散式阻斷服務攻擊
  • 黑客和其他未經授權的存取嘗試
  • 漏洞攻擊
  • 注入攻擊
  • 利用認證來接管帳號的攻擊
  • 入侵存取管控攻擊
  • 中間人(MITM)攻擊
應用程式介面防護如何運作

應用程式介面的主要通訊協定為何?

應用程式介面有各種形狀和大小。其中常見的包括:

  • 表述性狀態轉移(REST)應用程式介面 — 讓應用程式使用網站應用程式介面架構原則,透過超文本傳輸協定(HTTP)請求來分享資料和其他資源。絕大多數的應用程式介面都是以今日的 REST 為基礎。
  • 簡單物件存取協定(SOAP)應用程式介面 — 讓端點根據 XML 訊息安全地傳送、接收及分享資料。企業應用程式,如支付處理,通常都仰賴 SOAP,因為其通訊標準更加嚴格。
  • GraphQL 應用程式介面:透過按需查詢來更快、更精確擷取資料,因此,此通訊協定適合需要大量資料查詢的應用程式,例如處理大量產品、用戶及訂單資料的電子商務應用程式。
  • 遠端程序呼叫(RPC)應用程式介面 — 允許程式像本機一樣在遠端伺服器執行。雖然 REST 或 gRPC(RPC 的現代化應用)在某些使用案例中會取代 RPC,但 RPC 仍然非常適合在不同伺服器進行複雜的運算,例如執行人工智能演算法來偵測遠端伺服器上的詐騙。

應用程式介面基本上包含了所有編程介面,可讓軟件開發人員存取各種不同應用程式資料或功能,並將其整合至自己的應用程式。

應用程式介面的優勢是開發人員不必從頭開始建立自己的所有功能。反之,他們只需從現有的應用程式上借用,就能改善自己的軟件。

應用程式介面防護為何重要?

應用程式介面防護很重要,因為它能協助企業保護應用程式介面的完整性、防止敏感或機密資訊落入網絡犯罪分子手中,並保護企業的商譽,及維持合作夥伴和客戶的信任。

這一點很重要,因為企業越來越依賴應用程式介面來在各種平台和裝置上提供安全可靠的產品、服務與資訊。包括流動應用程式、 雲原生與雲端應用程式、網站應用程式,及軟件即服務應用程式。

這些應用程式所使用的資料已成為一項珍貴的資產,同時也是經營業務的重要一環。應用程式介面是這些應用程式資料的大門與通訊管道。如果遭到入侵,就可能對生產力、盈利能力和品牌地位造成嚴重後果,甚至包括鉅額罰款、長期業務中斷,甚至是法律後果。

由於這些因素,應用程式介面已成為黑客的主要攻擊管道。

此外,一套強大的應用程式介面保安方案還能協助企業隨時遵守所有政府與產業有關資料私隱權的法規,包括歐盟通用資料保護法規和加州消費者隱私權法案。

應用程式介面的最大資訊保安風險是什麼?

隨著應用程式介面的使用越來越普遍,網絡攻擊的數量、頻率、精密度及其他保安風險也在不斷增加。應用程式介面防護最大、最危險的風險包括:

  • 身份驗證與授權中斷 — 網絡犯罪集團無須經過適當認證就能存取應用程式介面,從而存取原本不該存取的功能或資料。此外,歹徒還會竊取登入憑證、應用程式介面金鑰或令牌來盜用帳號。
  • 配置錯誤 — 黑客利用漏洞來攻擊應用程式介面。例如,黑客可針對缺乏適當速率限制的應用程式介面發動阻斷服務(DoS)與分散式阻斷服務(DDoS)攻擊
  • 加密問題 — 不良的黑客會試圖攔截未加密的應用程式介面通訊。
  • 影子和殭屍應用程式介面:開發人員會利用應用程式介面延伸來建立許多應用程式介面,令他們可能忘記一些可公開取得但無法監控的老舊應用程式介面。這些應用程式介面往往缺乏保安措施,因此成為黑客的攻擊目標。
  • 異常的應用程式介面請求 — 儘管黑客假裝無害,但應用程式介面攻擊仍然有跡可尋。包括 SQL 資料隱碼攻擊(SQL Injection)與指令注入攻擊。

隨著應用程式介面攻擊越來越普遍,各種規模的企業都面對風險。近幾年,全球一些規模最大、最安全的企業都已遭到黑客入侵,包括 Honda、Dell 和 T-Mobile。

2024 年,漏洞攻擊也入侵了數億用戶的私人帳號,例如 LinkedIn、Facebook、Snapchat、Duolingo 和 X (Twitter)。

OWASP 十大應用程式介面資訊保安風險

2023 年,開放式Web應用程式安全專案(OWASP)發佈了 10 大應用程式介面防護風險的最新清單,協助企業發掘、了解並防範應用程式介面的最高風險威脅。這份清單包括:

  1. 對象級授權失效,讓負責處理物件識別碼的端點曝露。
  2. 身分驗證失效機制,讓歹徒竊取授權金鑰或冒充其他用戶的身分。
  3. 物件屬性層級驗證不當或不足,導致失效的物件屬性級授權
  4. 利用分散式阻斷服務和其他攻擊,無限消耗網絡頻寬、記憶體、儲存空間、CPU 或其他資源。
  5. 功能級授權失效,讓網絡犯罪集團可利用存取與授權漏洞。
  6. 敏感業務流程不受限存取,導致用來執行業務的應用程式介面受自動化攻擊,例如線上購物或將評論張貼到社群媒體的業務功能。
  7. 伺服器端請求偽造(SSRF)漏洞,讓黑客繞過防火牆和 VPN 來入侵可擷取遠端資源的應用程式介面。
  8. 保安配置錯誤讓應用程式介面及其支援系統容易遭到惡意入侵或攻擊。
  9. 不當的庫存管理可能讓應用程式介面中的端點曝露。
  10. 不安全的應用程式介面消耗量,讓黑客針對第三方產品資料或服務入侵應用程式介面。

應用程式介面防護採用哪些工具?

應用程式介面方案結合多種不同工具、技術與最佳實務守則來保護應用程式介面生命週期的每一階段,從設計、編碼到應用與維護。包括:

  • 有助於保護、管理及管控資料流的應用程式介面閘道。
  • 採用加密通訊協定來防範資料失竊、外洩或濫用。
  • 用來管理存取授權的應用程式介面金鑰或令牌。
  • 傳輸層防護可在資料傳輸時保護資料。
  • 保護應用程式介面、授權憑證與敏感資訊應用程式防火牆。
應用程式介面防護工具

應用程式介面防護最佳實務守則範例

每家企業在建立應用程式介面資訊保安策略時,都必須遵守一些最佳實務守原則來保護資料和應用程式,防範已知及新興的威脅。

首先,企業應盤點所有現有的應用程式介面來尋找並修正其資訊保安上的弱點、漏洞或漏洞。

此外,也應建置一套嚴格的認證與授權機制來監控誰可以存取應用程式介面及其內含資料,包括開放授權(OAuth)令牌、OpenID Connect(OIDC)管控、應用程式介面金鑰,及彼此的 TLS mTLS)。

企業應設定進階加密措施來防止資料遭竊取、使用或未經授權存取。此外,還可採用限速、限流措施及資料配額來防範應用程式介面遭濫用、過度使用或利用、保留頻寬、保護應用程式介面後端,及防範應用程式介面因分散式阻斷服務或其他攻擊而承受的風險。

最後,所有應用程式介面防護系統、工具和端點都應定期測試並持續監控,以掃瞄漏洞、發掘任何潛在漏洞或配置錯誤,確保應用程式介面防護能隨時保持完整與更新。

應用程式介面防護的未來趨勢為何?

隨著應用程式介面技術的演進,新的威脅、攻擊途徑及保安風險將不斷出現。而隨著企業透過模型上下文協定(MCP)來越來越多應用代理式人工智能通訊,這點也變得日益重要。為了解決這些挑戰,應用程式介面防護很可能更加依賴人工智能技術,例如神經網絡和機器學習

這些新的人工智能導向工具將協助企業改善應用程式介面威脅的偵測與回應功能,強化資料與網絡攻擊防禦,並且在威脅造成永久損害之前預先預測及防範絕大多數威脅。

未來,其他應用程式介面保安趨勢將包括持續不斷評估應用程式介面保安、應用程式產業標準與最佳實務守則,及合符適用的資料私隱法規。這樣的做法將有助企業保護珍貴的資訊,並維持應用程式介面的完整性、安全性和韌性。

哪裡可以取得應用程式介面防護的協助?

Trend Vision One™ — Cloud Security 能為雲端和混合雲環境提供全方位、領先業界的網絡資訊保安威脅、網絡攻擊及其他風險防護。

Cloud Security 結合了即時可視性與防護、持續監控與評估,及與現有資訊保安與網絡資訊保安工具及技術的密切整合,讓您徹底保護整個受攻擊面,包括雲端容器、工作負載、雲端資產及應用程式介面。

常見問題

Expand all Hide all

甚麼是應用程式介面?

add

應用程式介面即是「API」。應用程式介面是讓流動和網站應用程式彼此互動、分享資料、及相互通訊的後端框架。

為何需要應用程式介面防護?

add

應用程式介面防護能協助企業保護應用程式介面免於網絡攻擊,保護敏感、機密及專屬資料,避免遭到外洩或失竊。

可以舉個應用程式介面的範例嗎?

add

我們每天使用的應用程式介面包括付款處理應用程式介面讓您使用 PayPal 來支付線上購物費用、Google Maps 應用程式介面讓您追蹤遞送或尋找 Uber,與及登入應用程式介面讓您使用 Facebook 或 Google 帳號登入網站。

應用程式介面防護如何運作?

add

應用程式介面防護能防範資料與網絡攻擊,限制應用程式介面存取,防止應用程式介面資料遭未經授權存取。

如何利用 https 來保護應用程式介面?

add

網站應用程式介面會使用 HTTP 來分享資料。啟用 HTTPS 可加密共用資料,並保護表述性狀態轉移(REST)應用程式介面與 HTTP 用戶端之間的通訊。

保護應用程式介面的最佳方式為何?

add

應用程式介面可利用各種工具來保護,包括速率限制、資料節流、授權與存取控管、架構驗證,及分散式阻斷服務防範。

應用程式介面驗證與授權有何不同?

add

應用程式介面驗證可驗證應用程式介面用戶的身分。應用程式介面授權會管控可存取的資料或服務。

OAuth 2.0 如何協助應用程式介面防護?

add

OAuth 2.0 是一套業界標準的授權通訊協定,可規範、限制或管理第三方產品用戶端存取應用程式介面的方式。

應用程式介面閘道如何提升應用程式介面安全?

add

應用程式介面閘道可保護應用程式介面流量,在應用程式介面和用戶端或用戶之間傳輸資料時,驗證並管控資料存取。

如何保護應用程式介面端點?

add

應用程式介面端點可利用應用程式介面閘道、應用程式介面金鑰、OAuth 認證、零信任政策及彼此的 TLS(mTLS)加密來加以防護。