謝至恩專訪 F5 臺灣區總經理張紘綱:護送 Open API 的資安需求,促進資安 AI 化
所謂「資訊化」的過程,其實是一種「資訊流動方式改變」的過程,從原本的類比到數位,從人工到自動化、從集中式到分散式,反映了當代處理資訊流動規模的能力。
而進入雲端時代之後,資訊化註定朝著「分散式」的架構一路前去,這意味著應用系統所需要的資訊,得來自於網路上的另一個應用系統,而非本機端的檔案或資料。
這當然不是新鮮事,打從 1973 年 Robert Metcalfe 發明 Ethernet 以來,當時的科學家便發明了「應用程式介面 (Application Programming Interface, API)」,協助開發人員或應用程式與特定的應用程式進行溝通或存取資料,但當時也僅止於此。
過去 IT 科技曾試著透過中介軟體 (middle-ware) 來簡化 API 管理,但隨著 Internet、雲端與行動化技術發展以來,應用程式架構日趨複雜,在開放式環境中,單一的中介軟體也無法應付需求,必須要制訂統一的 API 標準,才有助於雲端原生應用程式的發展。
本文目錄
數位轉型加速 Open API 的發展
API 總共有三種使用情景,一是資料中心內部使用,不與外部網路共享;二是產業間使用,讓上下游廠商可以彼此串連資料,例如醫療、金融、政府、製造等產業制訂符合產業需求的 API 標準;三是開放公共取用資料,例如公車資訊、地理資訊、實價登錄、社交媒體、政府公開資料等。
後兩者即可稱為 Open API,各產業根據自己的需求訂定 API 標準,例如政府在 2019 年啟動智慧政府計畫,推動「T-Road」計畫,在原有的骨幹網路 GSN 中,建立一條專屬的資料傳輸通道,並由國家發展委員會制訂資料傳輸格式與準則的規範,讓全國各級機關可透過 T-Road 互相彼此以 API 連結交換資料,並可以向上集中到最高行政機關。
同樣的,金管會也制訂了開放銀行的 Open API,希望能夠帶動國內金融的數位轉型,啟動各種第三方的金融服務。
Open API 安全規範完善中
正因為 Open API 成為下一階段資訊架構的基礎建設之一,因此 Open API 的安全性挑戰也隨即浮上檯面。
「目前國發會或金管會在制訂 Open API 方面,都還是發展中的規範,」F5 臺灣區總經理張紘綱表示 Open API 標準的進度,「尤其在資訊安全方面的規範,目前都還是在比較原則性的準則,還沒有到細節執行的部分。」
張紘綱也表示 Open API 的規範都在發展中,資訊安全方面也將會逐漸完善。「目前 Open API 的資安規範,例如 Open Banking 方面,著重在 3 個安全領域:身份認證、同意管理 (Consent Management) 與交易安全。其中,身份認證是一切的基礎。」
對 Open API 來說,最基本也是最重要的一件事情,就是確保「對的資訊在對的時間給對的人」,因此身份認證成為 Open API 安全的基本功。F5 臺灣區資深技術顧問陳廣融表示:「因為 API 後面的資料十分誘人,因此許多駭客與組織都想盡各種方法,就是希望能夠突破身份認證的關卡,例如假冒使用者、暴力破解等等,去各種網站撈資料。」
舉例而言,當使用者在知名網站如 Amazon、花旗銀行、Google 等登入帳號時,看起來雖然只是輸入帳號密碼,但其實登入頁面會持續蒐集各種資料如字母輸入的速度與頻率、游標的移動方式、瀏覽器與作業系統版本等,來判斷究竟是合法行為,或是駭客透過 headless browser 的手法,以爬蟲 (spider) 或機器人 (bot) 程式來假冒使用者來存取 API。
Open API 資安第一站:WAF
張紘綱表示身份認證識別是 F5 的發展重點,年初時 F5 併購 Shape Security,便是關注於防偽詐騙方面的安全技術。而陳廣融也表示目前政府與醫療單位,是最為重視 Open API 安全的產業,「當然金融業隨著 Open Banking API 的制訂,也陸續開始關心 API 方面的防護。」
陳廣融認為,目前業界的共識,是在應用系統前面放置一組「網頁應用防火牆 (Web Application Firewall, WAF),能夠在龐大的 HTTP/S 的流量中,持續監看 API 呼叫流量,是否有惡意攻擊的特徵,「F5 在這塊領域花了非常大的力氣,除了能夠監看各種不同的 API 標準,再監看各種攻擊特徵,也將封包組合起來看使用者行為,例如 DDoS、Bot,就至少能夠過濾掉 80% 以上的惡意攻擊行為。」
當然,銀行端也可以用白名單的方式,只連結受信任的來源,「白名單的確可以增加銀行與第三方服務供應商 (Third-party Service Provider, TSP) 之間的連線信任,但我們無法永遠確保 TSP 的安全性,甚至可能在下一階段的 Open API 資安規範方面,要防止 TSP 產生各種不正常的接取。」張紘綱談到在 Open API 方面,也應該要帶入零信任的概念。
Open API 的資安方案帶動資安 AI 化
Open API 的第一期發展,在資安方面多落於技術層面的操作,例如 CAPTCHA 等;而第二期的發展,便開始著重於 Open API 安控規範,例如金管會與財金公司將推動資安標準,並要求銀行端與 TSP 要在第二期建置完成。「Open API 的影響力會逐漸外溢到各個領域,因此 F5 Networks 的 API 資安方案,從基礎建設安全的層次,向上提升到商務維運安全的層次,進入到『資安 AI 化』的世界。」張紘綱認為 Open API 的發展,不但改寫了應用系統之間的運作方式,也將資安技術與方向帶到更高階應用的層級。