專訪F5臺灣區總經理張紘綱：護送Open API的資安需求，促進資安AI化

所謂「資訊化」的過程，其實是一種「資訊流動方式改變」的過程，從原本的類比到數位，從人工到自動化、從集中式到分散式，反映了當代處理資訊流動規模的能力。

而進入雲端時代之後，資訊化註定朝著「分散式」的架構一路前去，這意味著應用系統所需要的資訊，得來自於網路上的另一個應用系統，而非本機端的檔案或資料。

這當然不是新鮮事，打從1973年Robert Metcalfe發明Ethernet以來，當時的科學家便發明了「應用程式介面(Application Programming Interface, API)」，協助開發人員或應用程式與特定的應用程式進行溝通或存取資料，但當時也僅止於此。

過去IT科技曾試著透過中介軟體(middle-ware)來簡化API管理，但隨著Internet、雲端與行動化技術發展以來，應用程式架構日趨複雜，在開放式環境中，單一的中介軟體也無法應付需求，必須要制訂統一的API標準，才有助於雲端原生應用程式的發展。

數位轉型加速Open API的發展

API總共有三種使用情景，一是資料中心內部使用，不與外部網路共享；二是產業間使用，讓上下游廠商可以彼此串連資料，例如醫療、金融、政府、製造等產業制訂符合產業需求的API標準；三是開放公共取用資料，例如公車資訊、地理資訊、實價登錄、社交媒體、政府公開資料等。

後兩者即可稱為Open API，各產業根據自己的需求訂定API標準，例如政府在2019年啟動智慧政府計畫，推動「T-Road」計畫，在原有的骨幹網路GSN中，建立一條專屬的資料傳輸通道，並由國家發展委員會制訂資料傳輸格式與準則的規範，讓全國各級機關可透過T-Road互相彼此以API連結交換資料，並可以向上集中到最高行政機關。

同樣的，金管會也制訂了開放銀行的Open API，希望能夠帶動國內金融的數位轉型，啟動各種第三方的金融服務。

Open API安全規範完善中

正因為Open API成為下一階段資訊架構的基礎建設之一，因此Open API的安全性挑戰也隨即浮上檯面。

「目前國發會或金管會在制訂Open API方面，都還是發展中的規範，」F5 臺灣區總經理張紘綱表示Open API標準的進度，「尤其在資訊安全方面的規範，目前都還是在比較原則性的準則，還沒有到細節執行的部分。」

張紘綱也表示Open API的規範都在發展中，資訊安全方面也將會逐漸完善。「目前Open API的資安規範，例如Open Banking方面，著重在3個安全領域：身份認證、同意管理(Consent Management)與交易安全。其中，身份認證是一切的基礎。」

對Open API來說，最基本也是最重要的一件事情，就是確保「對的資訊在對的時間給對的人」，因此身份認證成為Open API安全的基本功。F5 臺灣區資深技術顧問陳廣融表示：「因為API後面的資料十分誘人，因此許多駭客與組織都想盡各種方法，就是希望能夠突破身份認證的關卡，例如假冒使用者、暴力破解等等，去各種網站撈資料。」

舉例而言，當使用者在知名網站如Amazon、花旗銀行、Google等登入帳號時，看起來雖然只是輸入帳號密碼，但其實登入頁面會持續蒐集各種資料如字母輸入的速度與頻率、游標的移動方式、瀏覽器與作業系統版本等，來判斷究竟是合法行為，或是駭客透過headless browser的手法，以爬蟲(spider) 或機器人(bot)程式來假冒使用者來存取API。

Open API資安第一站：WAF

張紘綱表示身份認證識別是F5的發展重點，年初時F5併購Shape Security，便是關注於防偽詐騙方面的安全技術。而陳廣融也表示目前政府與醫療單位，是最為重視Open API安全的產業，「當然金融業隨著Open Banking API的制訂，也陸續開始關心API方面的防護。」

陳廣融認為，目前業界的共識，是在應用系統前面放置一組「網頁應用防火牆(Web Application Firewall, WAF)，能夠在龐大的HTTP/S的流量中，持續監看API呼叫流量，是否有惡意攻擊的特徵，「F5在這塊領域花了非常大的力氣，除了能夠監看各種不同的API標準，再監看各種攻擊特徵，也將封包組合起來看使用者行為，例如DDoS、Bot，就至少能夠過濾掉80%以上的惡意攻擊行為。」

當然，銀行端也可以用白名單的方式，只連結受信任的來源，「白名單的確可以增加銀行與第三方服務供應商(Third-party Service Provider, TSP)之間的連線信任，但我們無法永遠確保TSP的安全性，甚至可能在下一階段的Open API資安規範方面，要防止TSP產生各種不正常的接取。」張紘綱談到在Open API方面，也應該要帶入零信任的概念。

Open API的資安方案帶動資安AI化

Open API的第一期發展，在資安方面多落於技術層面的操作，例如CAPTCHA等；而第二期的發展，便開始著重於Open API安控規範，例如金管會與財金公司將推動資安標準，並要求銀行端與TSP要在第二期建置完成。「Open API的影響力會逐漸外溢到各個領域，因此F5 Networks的API資安方案，從基礎建設安全的層次，向上提升到商務維運安全的層次，進入到『資安AI化』的世界。」張紘綱認為Open API的發展，不但改寫了應用系統之間的運作方式，也將資安技術與方向帶到更高階應用的層級。