将 API 访问安全纳入 NIST 网络安全框架：应用程序与微服务防护策略

CSF 更新回应了过去十年技术格局的重大变化。如今，大多数网络环境高度复杂，需要访问多个云服务，并且这些服务通常在地理上分布于多个数据中心和办公地点。此外，应用程序架构已显著转向分布式微服务模式。

一. 应用程序和微服务加入网络安全防线

应用程序架构的转型一直是 Curity 使命背后的核心驱动力，也正是公司成立的根本原因。近年来，随着应用程序和微服务被引入网络，用于处理关键业务运营并提供更强功能，网络防御前线不断扩大。

越来越多的应用程序和微服务引入了复杂的网络安全风险，尤其在 身份与访问管理（IAM） 与 API 集成点 的交叉领域。新出现的安全差距需要专门且有针对性的解决方案。Curity 致力于开发有效的 IAM 解决方案以减轻 API 访问风险，同时 NIST 等组织在访问管理方面提供的指导也为行业带来了启发。

NIST 网络安全框架（CSF） 及其相关特别出版物始终包含访问控制最佳实践的宝贵见解。CSF 2.0 将指南适用范围从关键基础设施扩展到所有组织，进一步强调了 API 安全的重要性。然而，CSF 核心部分并未包含关于 API 访问安全的具体指导，这既是限制也是机遇：行业可进一步宣传 API 集成点安全的重要性，防止忽视造成的严重风险。

二. API访问是网络安全讨论的核心

经验丰富的网络安全从业者知道，API 访问安全性实际上已涵盖在 CSF 的建议范围内，但未明确提及 API 安全，错失了强化防御的机会：

1. 对 API 漏洞缺乏认识

应用程序和微服务可能由内部开发团队、第三方供应商，甚至员工在未经技术许可的情况下部署的“影子 IT”提供。这种多样化获取方式使得确保每个人理解 API 集成安全风险变得极为困难。

若 NIST CSF 能纳入 API 安全相关内容，将极大帮助 IT 和开发团队提升安全意识，从而更好地保护分布式集成点。

2. API访问安全不足可能削弱其他安全控制

API 安全可能决定组织整体网络安全态势。若攻击者通过 API 漏洞渗透，即使实施了最小权限访问、网络分割、早期检测和全面响应计划，仍可能遭受严重破坏。

将 API 访问安全纳入官方文档推荐实践，可以确保该主题成为网络安全讨论的核心内容。

三. 认识到应用程序架构的转变

随着 NIST 持续更新网络安全指南以应对动态技术和威胁，应用程序和微服务安全需成为持续对话的重要组成部分。

技术和数字化需求不断增长，应用程序与微服务呈指数级扩展，碎片化带来了更多漏洞利用机会。这个趋势迫使企业深入探讨新兴应用架构及其带来的安全挑战。

四. 总结

在当今复杂网络环境中，API 访问安全已成为网络安全不可忽视的一环。将 API 安全纳入 NIST 网络安全框架 指导，有助于企业应对分布式架构和微服务带来的新兴威胁。随着技术发展，组织需持续关注这些变化，并在网络安全实践中不断优化防护策略，以应对未来挑战。

原文链接: https://curity.io/blog/inserting-api-access-security-into-the-nist-cybersecurity-framework-conversation/