API安全风险

TIME:2018-09-11   click: 446 次

在云环境下,API提供了对应功能的访问权限,这增加了云平台的攻击面,攻击者可能存在滥用或找流行API代码中的漏洞,实现攻击云用户与云服务,因此,云安全联盟也表示不安全的API是云计算面临的最大威胁之一。

1.API签名安全

API签名主要是解决随意调用导致的风险,系统从外部取得数据时,通常都用API接口调用来完成,请求方与接口提供方在通信中,主要需考虑以下问题

·请求参数是否被篡改

·请求来源是否合法

·请求是否具有唯一性

2.API防重放攻击

尽管API接口传输借助HTTPS来加密传输,但部分接口仍有重放攻击的风险。在阿里云实践中,防重放的规则是请求唯一标识,一刻钟AppKey+API+Nonce不能重复,且要与时间戳一起用才可进行防重放AppKey在API网关控制台生成,只有取得API授权后才调用,借助云市场等通道购买的API默认已给APP授权过,阿里云所有云产品共用一套AppKey体系,删除ApppKey时应谨慎,以防影响到其他已开通服务的云产品时间截的值为当前时间的毫秒数,1970年1月1日起至今的时间转换为毫秒,时间戳有效时间为15分钟

3.API流量控制

流量控制策略与API都是独立的,两者绑定后,流量控制策略会对已绑定的API作用已有的流量控制策略可额外配置特殊用户应用,这些特例仅对目前策略已经绑定的API有效。流量控制策略可配置对API、用户、应用3个对象的流控值,流控单位可是分钟、小时、天流量控制策略包含下表中的维度

API

流量限制

该策略绑定的API在单位时间内被调用的次数不大于设定值,单位时间可选分钟、小时、天,如5000次/分钟

APP

流量限制

每个APP对该策略绑定的任意API在单位时间内的调用次数不大于设定值,如50000次/小时

用户

流量限制

每个云账号对该策略绑定的任意API在单位时间内的调用次数不大于设定值。一个云账号可能有多个APP,所以对云账号的流量限制就是对该账号下全部APP的流量总和的限制。如50万次/天

API网关控制台,可对流量控制策略进行创建、修改、删除、查看等基本操作流量控制策略API的绑定/解绑等操作

4.API授权管理

API发布到线上后,得授权客户的APP,客户才可通过此APP调用,建立或解除某API与APP的授权联系,API网关会核验权限

上一篇:云计算的管理风险 下一篇:云计算时代个人隐私保护