API 安全性与零信任：融合原则和实践 引言 随着现代网络格局的不断演变，零信任架构 (ZTA) 已从一种抽象概念转变为许多企业组织积极实施的安全战略。在许多 ZTA 实施计划中，常常忽视对 API 安全性的关注，导致对信任的持续评估存在重大缺陷。本文将深入探讨如何将零信任与 API 安全性有效结合，并提出企业组织加强其 API 安全能力的具体建议。 NIST 零信任七项基本原则 美国国家标准与技术研究院 (NIST) 发布的 NIST SP 800-207 标准概述了实现零信任架构的七项基本原则。虽然这些原则并非专门针对 API 安全性而设计，但它们为企业的 API 安全策略提供了有价值的指导。 原则 1：将所有数据源和计算服务视为受保护对象 ZTA 不仅限于可见应用程序和数据。许多应用程序和数据源无法通过直接用户界面进行访问，但可以通过 API 进行访问。因此，所有 API 接口都必须纳入 ZTA 规划和实施模型中。 原则 2：所有通信连接（无论内部还是外部）都必须是安全的 企业应为所有 API 实施适当的安全措施，包括数据加密、身份验证和访问控制，即使这些 API 仅用于私有数据中心或云环境内部。 原则 3：对每个企业资源进行基于连接的细粒度授权 组织应将所有 API 视为独立资源，并在授予访问权限之前基于连接评估信任。应尽可能减少不必要的特权，并使用行为分析持续监控 API 使用情况。 原则 4：动态授予资源访问权限，并考虑行为属性 最新发布的 OWASP API Security Top 10 中将缺乏 API 控制限制列为漏洞，允许对敏感工作流进行不受限制的访问。NIST 强调根据业务需求和可接受的风险水平设置权限。因此，企业必须识别参与者并分析业务流程上下文，使用行为分析检测与正常使用模式的偏差。 原则 5：持续监控和评估所有内部和外部数字资产的完整性和安全性 这一原则基于网络安全和基础设施安全局 (CISA) 定义的持续诊断和缓解 (CDM) 概念。CDM包括资产管理、漏洞管理和配置管理等要素。与有形资产一样，API 必须持续发现、分类和跟踪。ZTA 中的漏洞评估应超越传统的安全漏洞，包括基于 API 的新兴漏洞。 原则 6：强制使用持续的身份验证和授权 此原则可轻松扩展到所有 API。采用 ZTA 的组织应持续监控 API 使用情况，并使用自动化来响应检测到的异常或滥用行为。 原则 7：收集有关资产、网络基础设施和通信的实时状态信息，并将其用于增强安全性 为了将 API 安全性完全集成到 ZTA 中，API 安全措施必须拥有持续的数据访问和足够的时间来检测微妙的 API 滥用行为。这对于执行行为分析以进行实时风险评估和持续优化 ZTA 策略至关重要。安全分析师需要按需访问 API 和威胁数据，以查找问题并进行改进。 建立 API 安全能力 1. API 管理工具：投资 API 管理工具，例如 API 网关和代理，以提供身份验证、授权、流量监控和威胁检测。 2. 代码扫描和渗透测试：定期执行 API 代码的静态分析和动态测试，识别和修复漏洞。 3. API 监控和分析：使用工具或平台监控 API 使用情况，检测异常模式和滥用行为。 4. 威胁情报：集成威胁情报源，以识别新的攻击向量和潜在威胁。 5. API 安全最佳实践：遵循最佳实践，例如遵循细粒度权限、限制数据访问和使用安全传输层 (TLS)。 6. 安全意识培训：向开发人员和管理人员提供 API 安全意识培训，灌输安全意识和最佳实践。 结论 通过将 NIST 零信任基本原则应用于 API 安全性，企业组织可以创建全面的 ZTA 策略，减轻威胁并增强整体网络安全态势。通过建立健全的 API 安全能力，企业可以保护敏感数据、防止滥用并确保业务连续性。

---

蓝信的零信任安全能力是什么？

谢邀。 零信任的概念这几年发展迅速，各类商业化产品也不断面市。 要寻找靠谱的零信任厂商，首先要明确一点：零信任安全的解决方案适合哪类企业（即明确解决什么问题）？目前主流的两类包括：1.想要寻找比VPN更灵活方案的企业（例如：需要向生态合作伙伴开放应用程序和服务的场景）；2.需要对本地和云上的企业应用进行更精细化访问和会话控制的企业。 近几年，零信任安全一直吸引着各类风投，大型的并购也屡见不鲜，当然反过来也催生着新的创业公司加入这个市场。 之前写过一篇《细数那些全球知名的零信任安全厂商》的文章，有兴趣可以详细阅读。 这里简单将零信任厂家分三类来聊一聊目前市场的整体格局：已经是独角兽的玩家：独角兽玩家的快速发展也是有迹可循的，基本过去都有CASB、WAF等的深厚积累，并借助零信任的框架快速转型。 差异化生存的初创公司目前已有一些公司在细分赛道上突出重围，这里简要列举各国有代表性的几家。 （当然也随手植入自家的内容XD~）Cato Networks（以色列）2015年成立，C轮5500万美金产品：Cato Cloud（SASE）应用场景：通过云原生托管的SD-WAN服务为企业提供随时随地的安全网络访问，将移动用户和云数据中心无缝集成到WAN中。 企业案例：已服务零售、医药、制造等多个行业。 11月，Cato Networks推出了面向合作伙伴的全球计划，包括总代理、子代理、VAR和MSP。 InstaSafe（印度）2012年成立，220万美金A轮产品：Instasafe®secure access应用场景：金融行业财务数据泄露，物流/零售网络黑客攻击企业案例：超100家客户，接入终端48万Cloudaemon（中国）2017年成立，未融资产品：ESZ™Cloudaemon零信任安全能力平台/太极盾应用场景：零信任抗D，改善灵活性、敏捷性和可伸缩性，使企业应用程序在运行时不再直接暴露于互联网。 企业案例：主要为游戏公司，截止到2019年，订阅企业数超100家。 Perimeter 81（以色列）2018年成立，A轮1000万美金产品：Software Defined Perimeter应用场景：替代VPN，帮助企业保护云环境、公司数据库企业案例：面向金融、SaaS、零售行业等巨头收购那些事：巨头中比较知名的首先当属：Google和Akamai，各自在公司内部系统也进行了零信任的部署，有着很深的积淀。 但也都各有优劣势，详细可以参考另外一篇解读《5分钟了解谷歌BeyondCorp零信任安全模型》诸如思科、派拓、赛门铁克、Unisys、Proofpoint这样的巨头玩家，今年多以收购的方式实现在零信任网络访问的纵深和业务的横向布局。 例如：Proofpoint于2019年5月以1.1亿美元现金收购零信任创业公司Meta Networks。 Meta Networks利用云原生的全球骨干网，以用户为中心取代以站点为中心的网络安全，帮助企业实现人员、应用程序、云、数据中心和办公室的快速连接。 通过收购，Meta Networks的ZTNA技术将与Proofpoint的CASB和Web隔离产品线集成，帮助其云安全产品和自适应控制得到进一步发展。 再比如：派拓通过多次收购案： PureSec, RedLock, Twistlock，实现了从网络到云和负载的拓展，2019年与思科、Akamai一起入围Forrester Wave零信任供应商的领导者。 更多并购案例可以参考：整体来讲，零信任是个不可逆的趋势，但也是个需要长期参与的旅程，持续关注。

零信任落地实践方案探讨

文 华润医药商业集团有限公司智能与数字化部 孙宏鸣

零信任概念的提出，彻底颠覆了原来基于边界安全的防护模型，近年来受到了国内外网络安全业界的追捧。

所谓零信任顾名思义就是“从不信任”，那么企业是否需要摒弃原有已经建立或正在搭建的传统基于边界防护的安全模型，而向零信任安全模型进行转变呢？零信任是企业安全建设中必须经历的安全防护体系技术革新，但它必然要经历一个长期 探索 实践的过程。

一、零信任的主要安全模型分析

云计算和大数据时代，网络安全边界泛化，内外部威胁越来越大，传统的边界安全架构难以应对，零信任安全架构应运而生。作为企业，该如何选择“零信任”安全解决方案，为企业解决目前面临的安全风险？

目前“零信任”安全模型较成熟的包括安全访问服务边缘（SASE）模型和零信任边缘（ZTE）模型等。以这两种模型为例，首先要先了解目前模型的区别，探讨各自的发展趋势，再选择适合企业的落地实施方案。

对 SASE 模型，身份驱动、云架构、支撑所有边缘以及网络服务提供点（PoP）分布是其主要特征。SASE 模型扩展了身份的定义，将原有的用户、组、角色分配扩展到了设备、应用程序、服务、物联网、网络边缘位置、网络源头等，这些要素都被归纳成了身份，所有这些与网络连接相关联的服务都由身份驱动。与传统的广域网不同，SASE 不会强制将流量回传到数据中心进行检索，而是将检查引擎带到附近的 PoP 点，客户端将网络流量发到 PoP 点进行检查，并转发到互联网或骨干网转发到其他 SASE 客户端，从而消除网络回传所造成的延迟。SASE 可提供广域网和安全即服务（SECaaS），即提供所有云服务特有的功能，实现最大效率、方便地适应业务需求，并将所有功能都放置在 PoP 点上。

SASE 模型的优点在于能够提供全面、灵活、一致的安全服务 , 同时降低整体安全建设成本，整合供应商和厂家的资源，为客户提供高效的云服务。通过基于云的网络安全服务可简化 IT 基础架构，减少 IT 团队管理及运维安全产品的数量，降低后期运维的复杂性，极大地提高了工作效率。SASE 模型并利用云技术为企业优化性能、简化用户验证流程，并对未授权的数据进行保护。

SASE 模型强调网络和安全紧耦合，网络和安全同步建设，为正在准备搭建安全体系的企业提供了较为理想的路径。反之，已经搭建或正在搭建安全体系过程中的企业，如果要重构企业网络结构，是个极大的挑战，也是一笔不小的投入。所以，SASE 模型可能更适用于面对终端用户的零售行业，为这类企业提供完整的安全服务，不需要企业在每一个分支节点上搭建一整套安全体系，便于统一管理并降低建设成本。

ZTE 模型的重点在零信任。一是数据中心零信任，即资源访问的零信任，二是边缘零信任，即所有边缘的零信任访问安全。其实可以理解为SASE 模型纳入了零信任的模块，本质上是一个概念。ZTE 模型强调网络和安全解耦，先解决远程访问问题，再解决网络架构重构问题。

二、华润医药商业集团零信任的实践

华润医药商业集团有限公司（以下简称“公司”）作为华润下属的大型医药流通企业，在全国分布百余家分子公司，近千家药店，日常业务经营都离不开信息化基础支撑，所以网络安全工作尤为重要。近年来各央企在网络安全建设方面均积极响应国家号召及相关法律法规要求，完善网络安全防护能力，公司同样十分重视网络安全建设，目前同国内主流安全厂商合作，建立了以态势感知为核心，贯穿边界与终端的纵深防御体系，并通过连续两年参与攻防演练，不断提升网络安全人员专业水平，通过攻防实战进一步优化网络安全建设。

但公司在涉及云计算、大数据、物联网等技术领域时，现有的网络边界泛化给企业带来的安全风险不可控，传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施，而零信任能够有效帮助公司在数字化转型中解决难以解决的问题。

公司选择了 SASE（安全访问服务边缘）和ZTE（零信任边缘）两种模型并行的解决方案为企业摸索“零信任”网络安全架构推进的方向。

公司分支企业众多，几乎覆盖全国范围，存在安全管控难、处置难、安全性低、资源灵活性差等问题，并缺少整体统一的长效运营机制。基于以上问题，公司参考了 SASE 模型的解决方案，将原有的传统广域网链接数据中心的访问形式变为PoP 点广域网汇聚的网络架构方案，由统一的运营服务商提供网络链路及全面的安全服务。但并不是完全重构原有的网络架构，而是分为三类情况使用不同的方案。

第一类是改变网络安全管理方式，主要针对区域公司。 由于大部分区域公司已经搭建了相对成熟的安全体系，只将原有的传统广域网链路改为就近接入运营商 PoP 点，并将原有的双线冗余线路的备用线路使用软件定义广域网（SD-WAN）技术进行替换，并通过服务质量（QoS）机制将主营业务与办公业务进行合理切分，大大提高了网络使用效率，降低费用成本，并且可以通过统一的管理平台对广域网进行管理，统一下发配置安全策略，提高整体安全管控和处置。

第二类是逐层汇聚、分层管理，主要针对二、三级分支机构。 这类单位安全体系虽已建设，但还未达到较高的程度，通过就近接入 PoP 点或汇聚到区域公司，由运营商提供部分安全服务或由区域公司进行统一管控。

第三类主要针对零售门店及小型分支机构这类没有能力搭建安全体系的单位。 使用 SD-WAN 安全接入方案就近接入 PoP 点，由运营商提供整体的安全服务，从而降低安全建设成本并加强统一安全管控。通过 SASE 模型的管理理念对网络架构进行调整，提供全面、一致的安全服务 , 同时降低整体安全建设成本，提高工作效率。

近两年，公司办公受新冠疫情的影响，员工居家办公成为常态化。作为虚拟专用网络（VPN）产品的使用“大户”，公司原有的 VPN 账户众多 ,传统 VPN 在使用过程中已经难以满足当前业务的需求，一些问题逐渐暴露，经常出现不同程度的安全风险。传统 VPN 架构存在很多问题，如权限基于角色固定分配，不够灵活，在业务生成中及重保等特殊时期，粗放的权限管控无法达到对不同角色的业务人员及非法人员的访问控制。业务端口暴露在公网，本身即存在账号冒用、恶意扫描、口令爆破等安全隐患。公司总部负责 VPN 业务运维，涉及下级单位 VPN 问题均需要总部人员处理，诸如找回账号密码等细微而繁琐的问题占用了总部人员大量时间和精力。不同终端、浏览器对于传统 VPN 客户端的兼容性不同，兼容性问题也是经常被员工吐槽的地方。在 VPN 使用中，基于互联网的加密访问经常因为网络原因出现业务卡顿甚至掉线问题。

为此，公司参考了 ZTE 模型的解决方案，首先解决远程访问问题。公司于 2021 年进行了零信任安全建设试点，以零信任理念为指导，结合深信服软件定义边界（SDP）架构的零信任产品，构建了覆盖全国办公人员的零信任远程办公平台。

SDP 架构的零信任产品，对访问连接进行先认证、再连接，拒绝一切非法连接请求，有效缩小暴露面，避免业务被扫描探测以及应用层分布式拒绝服务攻击（DDoS）。通过单包认证（SPA）授权安全机制实现业务隐身、服务隐身，保护办公业务及设备自身。对于没有安装专有客户端的电脑，服务器不会响应来自任何客户端的任何连接，无法打开认证界面及无法访问任何接口。具备自适应身份认证策略，异常用户在异常网络、异常时间、新设备访问重要敏感应用或数据时，零信任平台强制要求用户进行二次认证、应用增强认证，确保用户身份的可靠性。

零信任的试点应用，提升了公司的网络安全性，简化了运维。但基于公司现状及规划，试点工作还需进一步同厂商进行下一步的工作落地和 探索 。在使用体验优化方面，由于 SDP 架构的数据转发链更多，零信任与 VPN 使用流畅度上差异不大，在用户使用体验方面需要进一步优化。零信任安全体系需要全面支持互联网协议第 6 版（IPV6），依据相关政策要求，需要进行 IPV6 业务改造，通过零信任对外发布的业务将优先进行改造。零信任安全体系需要支持内部即时通讯，将零信任产品进一步同公司现有办公平台进行对接，实现身份、业务的统一管理，实现单点登录。公司零信任安全体系建设的下一步工作，是将公司现有安全体系建设进一步与零信任产品体系打通，实现数据互通，进一步提高管理信息化中的安全可靠性。

三、结语

零信任安全架构对传统的边界安全架构模式重新进行了评估和审视，并对安全架构给出了新的建设思路。但零信任不是某一个产品，而是一种新的安全架构理念，在具体实践上，不是仅在企业网络边界上进行访问控制，而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制，从而真正实现“从不信任，始终验证”。

（本文刊登于《中国信息安全》杂志2022年第2期）