Cloudflare API Shield 簡介,cloudflare的基本服務(wù)是什么-ESG跨境

Cloudflare API Shield 簡介,cloudflare的基本服務(wù)是什么

Cloudflare API Shield簡介

API是連接到互聯(lián)網(wǎng)的現(xiàn)代應(yīng)用程序的生命線。他們每分鐘都在執(zhí)行來自移動應(yīng)用程序的請求:下這個外賣訂單，“喜歡”這張圖片，向物聯(lián)網(wǎng)設(shè)備發(fā)快遞命令，解鎖車門，開始清洗周期，通知某人他們剛剛跑完5000米，以及無數(shù)其他指令。

旨在執(zhí)行未授權(quán)操作或泄露數(shù)據(jù)的攻擊無處不在，這些API也是攻擊目標(biāo)。正如Gartner數(shù)據(jù)顯示，“到2021年，90%的Web使能應(yīng)用將因為開放API而非UI而擁有更大的攻擊面，2019年這一比例為40%”，“Gartner預(yù)計，到2022年，API濫用將從不常見的攻擊手段轉(zhuǎn)變?yōu)樽铑l繁的攻擊手段，導(dǎo)致企業(yè)Web應(yīng)用的數(shù)據(jù)泄露”[1][2]。在每秒鐘穿越Cloudflare網(wǎng)絡(luò)的1800萬個請求中，50%是針對API的，其中大部分是因為惡意而被阻止的。

為了應(yīng)對這些威脅，Cloudflare通過使用強客戶端基于證書的身份識別和嚴(yán)格的基于模式的驗證，簡化了API的安全保護(hù)。截至今天，這些功能已經(jīng)在新產(chǎn)品“API Shield”中為我們所有的計劃免費提供給客戶。安全性的優(yōu)勢也擴展到了基于gRPC的API，使用二進(jìn)制格式(比如協(xié)議緩沖區(qū))代替JSON，越來越受到我們客戶的歡迎。

請繼續(xù)閱讀，了解更多新功能；或者，直接跳到“演示”部分，查看如何開始配置第一個API Shield規(guī)則的示例。

轉(zhuǎn)發(fā)安全模型和客戶端證書

所謂“前向安全”模型，是指只允許已知行為和身份，拒絕其他一切的模型。它與Web應(yīng)用防火墻(WAF)實現(xiàn)的傳統(tǒng)“消極安全”模型相反，WAF允許除來自有問題的IP、ASN、國家或地區(qū)的請求或帶有有問題的簽名(SQL注入行為等)的請求之外的所有內(nèi)容。).

實現(xiàn)API的前向安全模型是消除證書填充攻擊和其他自動掃描工具噪音的最直接方法。要采用前向模型，第一步是部署強身份驗證，如雙向TLS身份驗證，它不易受重用或共享密碼的影響。

2014年，我們推出了通用SSL來簡化服務(wù)器證書的頒發(fā)。同樣，API Shield可以將頒發(fā)客戶端證書的過程簡化為只需單擊Cloudflare dashboard中的幾個按鈕。通過提供完全受管理的私有公鑰基礎(chǔ)結(jié)構(gòu)(PKI)，您可以專注于開發(fā)應(yīng)用程序和功能，而不必操作和保護(hù)自己的證書頒發(fā)機構(gòu)(CA)。

使用模式驗證執(zhí)行有效的請求

一旦開發(fā)人員可以確保只有合法的客戶端(擁有SSL證書)可以連接到他們的API，實現(xiàn)前向安全模型的下一步就是確保這些客戶端發(fā)出有效的請求。很難從設(shè)備中提取客戶端證書并在其他地方重用它，但這并不是不可能的，因此確保API調(diào)用如預(yù)期一樣也很重要。

API開發(fā)人員可能不會預(yù)料到帶有不相關(guān)輸入的請求，如果應(yīng)用程序直接處理這些請求，可能會導(dǎo)致問題。因此，應(yīng)該盡可能在邊緣丟棄這些請求。在API模式的驗證過程中，它會將API請求的內(nèi)容(URL后的查詢參數(shù)和POST主體的內(nèi)容)與包含指定預(yù)期內(nèi)容的規(guī)則的契約或“模式”進(jìn)行匹配。如果驗證失敗，API調(diào)用將被阻止，以保護(hù)源站免受無效請求或惡意有效負(fù)載的影響。

驗證該模式當(dāng)前正在進(jìn)行JSON有效負(fù)載封閉測試，并且gRPC/協(xié)議緩沖區(qū)已經(jīng)在路線圖中進(jìn)行了規(guī)劃。如果您想?yún)⑴c測試，請打開主題為“API模式驗證測試版”的支持票。測試之后，我們計劃提供模式驗證作為API Shield用戶界面的一部分。

展望未來

在接下來的幾個月里，我們計劃擴展API Shield，并添加一些旨在保護(hù)API流量的其他功能。如果客戶想使用自己的PKI，我們還提供導(dǎo)入自己的CA的功能。這些功能目前作為Cloudflare Access的一部分提供。

在收到關(guān)于Beta模式驗證的反饋后，我們將嘗試向所有客戶提供該功能。如果您正在試用測試版，并想分享您的想法，歡迎您提供反饋。

除了證書和模式驗證，我們還將安排其他API安全功能和深度分析功能，幫助您更好地了解API。

1:“到2021年，90%支持Web的應(yīng)用將因為開放API而不是UI而擁有更大的攻擊面，2019年的比例是40%”。來源:Gartner《Gartner的API戰(zhàn)略成熟度模型》，Saniye Alaybeyi和Mark ONeill，2019年10月21日。(需要Gartner訂閱)

2:“Gartner預(yù)測，到2022年，API濫用將從不常見的攻擊手段變?yōu)樽铑l繁的攻擊手段，導(dǎo)致企業(yè)Web應(yīng)用的數(shù)據(jù)泄露”。來源:Gartner，“API戰(zhàn)略中的酷供應(yīng)商”，Shameen Pillai、Paolo Malinverno、Mark ONeill和Jeremy DHoinne，2020年5月18日(需要Gartner訂閱)

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。