将 API 访问安全纳入 NIST 网络安全框架：应用程序与微服务防护策略

CSF更新对过去十年技术格局发生的重大变化做出了回应。如今，大多数网络环境都非常复杂，需要访问多个云服务，并且它们通常在地理上分布在多个数据中心和办公地点。此外，应用程序架构已显著转向越来越多的分布式微服务。

应用程序和微服务加入网络安全防线

应用程序架构的这种变化一直是Curity使命背后的驱动力。事实上，这也是我们创立公司的根本原因。近年来，随着应用程序和微服务被引入网络以处理关键业务运营并提供更强大的功能，我们认识到网络防御的前线正在不断扩展。越来越多的应用程序和微服务引入了复杂的网络安全风险。

特别是在标识和访问管理（IAM）与API集成点的交叉领域，我们发现了新出现的安全差距，这些差距需要专门且有针对性地解决。在我们致力于开发有效的IAM解决方案以减轻API访问风险的同时，NIST等组织在访问管理方面提供的指导也为我们带来了启发。

NIST网络安全框架（CSF）及其相关的特别出版物始终包含关于访问控制最佳实践的宝贵见解。如今，CSF 2.0版本将指南的适用范围从关键基础设施扩展到所有组织，这进一步强调了我们工作的必要性，并提高了人们对API访问安全问题的关注。

然而，CSF的核心部分并未包含关于API访问安全的具体指导。虽然CSF旨在普遍适用，这种缺失是可以理解的，但它也为行业提供了一个机会，让我们能够进一步宣传API访问安全的重要性。我们需要提高人们对应用程序集成点安全性的认识，因为忽视这一点可能会对组织的网络安全准备工作造成严重影响。

经验丰富的网络安全从业者知道，API访问安全性实际上已经涵盖在CSF的建议范围内。然而，CSF核心部分未明确提及API访问安全，这实际上错失了解决网络安全防御者面临的两个关键问题的机会：

应用程序和微服务并不总是由深刻理解API安全重要性的人提供。它们可能通过多种途径进入组织，包括内部开发、第三方供应商提供，甚至是员工在未经技术团队许可的情况下部署的“影子IT”。这种多样化的获取方式使得确保每个人都了解API集成的安全风险变得极为困难。

在这种环境下，实施有效的安全控制可能会变得不可行。如果NIST CSF等网络安全指南能够纳入API安全的相关内容，将极大地帮助IT和开发团队提高组织内部的安全意识，从而更好地保护日益复杂和分布式的集成点。

API访问安全可能是组织整体网络安全态势的决定性因素。API集成点的漏洞可能会削弱其他所有安全控制的有效性。如果攻击者或恶意软件通过API访问漏洞渗透到组织网络，即使组织实施了最小权限访问、网络分割、早期检测和全面的响应计划，仍可能遭受严重的破坏。

将API访问安全性纳入官方文档中的推荐实践和策略列表，可以帮助将这一主题提升到网络安全讨论的核心位置。

随着NIST不断更新其宝贵且急需的网络安全指南，以应对动态技术和不断变化的威胁格局，应用程序和微服务的安全性将需要成为持续对话的重要组成部分。

随着技术和数字化需求的不断增长，我们将继续目睹应用程序和微服务的指数级增长。这种持续的碎片化为存在于解决方案之间的集成点和空间中的漏洞提供了更多的利用机会。这一趋势迫使我们所有人更加深入地探讨这些新兴的应用程序架构及其带来的安全挑战。

在当今复杂的网络环境中，API访问安全已经成为网络安全讨论中不可忽视的一部分。通过将API安全纳入NIST网络安全框架等指导文件，能够帮助组织更好地应对分布式架构和微服务带来的新兴威胁。随着技术的不断发展，我们需要持续关注这些变化，并在网络安全实践中不断优化，以应对未来的挑战。

原文链接: https://curity.io/blog/inserting-api-access-security-into-the-nist-cybersecurity-framework-conversation/