專訪F5臺灣區總經理張紘綱:護送Open API的資安需求,促進資安AI化

正因為Open API成為下一階段資訊架構的基礎建設之一,因此Open API的安全性挑戰也隨即浮上檯面。

所謂「資訊化」的過程,其實是一種「資訊流動方式改變」的過程,從原本的類比到數位,從人工到自動化、從集中式到分散式,反映了當代處理資訊流動規模的能力。

而進入雲端時代之後,資訊化註定朝著「分散式」的架構一路前去,這意味著應用系統所需要的資訊,得來自於網路上的另一個應用系統,而非本機端的檔案或資料。

這當然不是新鮮事,打從1973年Robert Metcalfe發明Ethernet以來,當時的科學家便發明了「應用程式介面(Application Programming Interface, API)」,協助開發人員或應用程式與特定的應用程式進行溝通或存取資料,但當時也僅止於此。

過去IT科技曾試著透過中介軟體(middle-ware)來簡化API管理,但隨著Internet、雲端與行動化技術發展以來,應用程式架構日趨複雜,在開放式環境中,單一的中介軟體也無法應付需求,必須要制訂統一的API標準,才有助於雲端原生應用程式的發展。

F5 臺灣區總經理張紘綱

數位轉型加速Open API的發展

API總共有三種使用情景,一是資料中心內部使用,不與外部網路共享;二是產業間使用,讓上下游廠商可以彼此串連資料,例如醫療、金融、政府、製造等產業制訂符合產業需求的API標準;三是開放公共取用資料,例如公車資訊、地理資訊、實價登錄、社交媒體、政府公開資料等。

後兩者即可稱為Open API,各產業根據自己的需求訂定API標準,例如政府在2019年啟動智慧政府計畫,推動「T-Road」計畫,在原有的骨幹網路GSN中,建立一條專屬的資料傳輸通道,並由國家發展委員會制訂資料傳輸格式與準則的規範,讓全國各級機關可透過T-Road互相彼此以API連結交換資料,並可以向上集中到最高行政機關。

同樣的,金管會也制訂了開放銀行的Open API,希望能夠帶動國內金融的數位轉型,啟動各種第三方的金融服務。

Open API安全規範完善中

正因為Open API成為下一階段資訊架構的基礎建設之一,因此Open API的安全性挑戰也隨即浮上檯面。

「目前國發會或金管會在制訂Open API方面,都還是發展中的規範,」F5 臺灣區總經理張紘綱表示Open API標準的進度,「尤其在資訊安全方面的規範,目前都還是在比較原則性的準則,還沒有到細節執行的部分。」

張紘綱也表示Open API的規範都在發展中,資訊安全方面也將會逐漸完善。「目前Open API的資安規範,例如Open Banking方面,著重在3個安全領域:身份認證、同意管理(Consent Management)與交易安全。其中,身份認證是一切的基礎。」

對Open API來說,最基本也是最重要的一件事情,就是確保「對的資訊在對的時間給對的人」,因此身份認證成為Open API安全的基本功。F5 臺灣區資深技術顧問陳廣融表示:「因為API後面的資料十分誘人,因此許多駭客與組織都想盡各種方法,就是希望能夠突破身份認證的關卡,例如假冒使用者、暴力破解等等,去各種網站撈資料。」

舉例而言,當使用者在知名網站如Amazon、花旗銀行、Google等登入帳號時,看起來雖然只是輸入帳號密碼,但其實登入頁面會持續蒐集各種資料如字母輸入的速度與頻率、游標的移動方式、瀏覽器與作業系統版本等,來判斷究竟是合法行為,或是駭客透過headless browser的手法,以爬蟲(spider) 或機器人(bot)程式來假冒使用者來存取API。

Open API資安第一站:WAF

張紘綱表示身份認證識別是F5的發展重點,年初時F5併購Shape Security,便是關注於防偽詐騙方面的安全技術。而陳廣融也表示目前政府與醫療單位,是最為重視Open API安全的產業,「當然金融業隨著Open Banking API的制訂,也陸續開始關心API方面的防護。」

陳廣融認為,目前業界的共識,是在應用系統前面放置一組「網頁應用防火牆(Web Application Firewall, WAF),能夠在龐大的HTTP/S的流量中,持續監看API呼叫流量,是否有惡意攻擊的特徵,「F5在這塊領域花了非常大的力氣,除了能夠監看各種不同的API標準,再監看各種攻擊特徵,也將封包組合起來看使用者行為,例如DDoS、Bot,就至少能夠過濾掉80%以上的惡意攻擊行為。」

當然,銀行端也可以用白名單的方式,只連結受信任的來源,「白名單的確可以增加銀行與第三方服務供應商(Third-party Service Provider, TSP)之間的連線信任,但我們無法永遠確保TSP的安全性,甚至可能在下一階段的Open API資安規範方面,要防止TSP產生各種不正常的接取。」張紘綱談到在Open API方面,也應該要帶入零信任的概念。

Open API的資安方案帶動資安AI化

Open API的第一期發展,在資安方面多落於技術層面的操作,例如CAPTCHA等;而第二期的發展,便開始著重於Open API安控規範,例如金管會與財金公司將推動資安標準,並要求銀行端與TSP要在第二期建置完成。「Open API的影響力會逐漸外溢到各個領域,因此F5 Networks的API資安方案,從基礎建設安全的層次,向上提升到商務維運安全的層次,進入到『資安AI化』的世界。」張紘綱認為Open API的發展,不但改寫了應用系統之間的運作方式,也將資安技術與方向帶到更高階應用的層級。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416