乐趣区

关于编辑器:API-NEWS-三个Argo-CD-API漏洞

欢送大家围观小阑精心整顿的 API 平安最新资讯,在这里你能看到最业余、最前沿的 API 平安技术和产业资讯,咱们提供对于寰球 API 平安资讯与信息安全深度察看。
本周,咱们带来的分享如下:

  • 对于三个 Argo CD API 破绽的文章
  • Gartner 对 API 平安的认识
  • 分布式标识是古代 API 平安的要害

对于三个 Argo CD API 破绽的文章
Argo CD 是 Kubernetes 中最受欢迎和增长最快的 GitOps 工具。当遵循 GitOps 部署模式时,Argo CD 能够轻松定义一组应用程序,它们在存储库中具备所需的状态以及它们应该部署的地位。部署后,Argo CD 会继续监控状态,甚至能够捕获配置漂移。一篇由 Security Boulevard 提供的破绽文章,涵盖了 Argo CD 部署平台中的三个独立的 API 破绽。

第一个破绽(CVE-2023-22736)是一个容许绕过受权的重大破绽。Argo CD 软件中存在一个破绽,会使得歹意用户在没有失去受权的状况下,在零碎容许范畴外部署应用程序。这个破绽只影响启用了“任何命名空间中的应用程序”性能的用户,并且从 2.5.0 版本开始就存在。然而,当初 Argo CD 公布了 2.5.8 和 2.6.0-rc5 补丁来修复这个问题。如果您应用的是 Argo CD,请及时降级到最新版本以爱护您的系统安全。
第二个破绽(CVE-2023-22482)是由不当受权导致的重大问题。因为 Argo CD 在验证令牌时没有查看受众申明,导致攻击者能够应用有效的令牌来获取权限。如果您应用的 OIDC 提供商同时为其余用户提供服务,那么您的零碎将承受来自这些用户的令牌,并依据用户组权限授予对应的权限,这就十分危险了。该破绽影响所有从 v1.8.2 开始的 Argo CD 版本。
为了修复这个问题,Argo CD 公布了版本 2.6.0-rc5、2.5.8、2.4.20 和 2.3.14 中的补丁,引入了一个新的性能——“容许受众”,容许用户指定他们想要容许的受众。如果您正在应用 Argo CD,请尽快更新到最新版本并配置好“容许受众”,以爱护您的零碎。
第三个破绽(CVE-2023-25163)是 Argo CD 软件中的一个问题,会导致存储库拜访凭据泄露。这个破绽的重大水平中等,会在未能正确清理输入时,泄露敏感信息。此问题影响所有从 v2.6.0-rc1 开始的 Argo CD 版本。
如果您正在应用受影响的版本,倡议尽快降级到更新的版本来修复这个破绽,以爱护您的系统安全。最近的这些破绽再次强调了 API 安全性的重要性,也显示出公司必须高度关注爱护其 API。
随着 API 在古代应用程序中的宽泛应用,攻击者越来越频繁地利用 API 破绽来入侵零碎。因而,爱护 API 曾经成为任何组织安全策略中的至关重要的一部分,须要采取安全措施和最佳实际来确保数据和零碎的平安。只有这样,能力保障企业在数字化时代取得最高程度的平安保障。

对于 Gartner 对 API 平安的认识
Gartner 副总裁分析师兼软件工程钻研主管 Mark O’Neill 对最近公布的第 4 份年度 API 现状报告的认识,该报告收集了来自 850 多名寰球开发人员的意见。O’Neill 的第一个察看后果是,组织在其资产中部署多个 API 网关(及多个云提供商)。
这使得 API 策略的集中管理成为一个简单的问题,因为分布式环境不足良好的联结治理解决方案。因而,团队不得不独立治理多个网关。O’Neill 的第二个察看后果是,API 治理和安全性因应用的 API 类型品种繁多而变得复杂,比方:REST、Webhooks、Websockets、SOAP、GraphQL、Kafka、AsyncAPI、gRPC。
从平安角度来看,特地值得注意的是 GraphQL,它容许跨数据进行深刻且宽泛的查问,因而很难分辨要爱护什么数据。另外,GraphQL 也是无状态显示的,因而平安团队必须正确施行身份验证和受权。在资产中部署多个 API 网关可能会带来以下毛病:

  • 复杂性减少:多个 API 网关的部署可能会导致系统复杂性的减少,包含配置、治理、监控和保护等方面的复杂性,这可能会减少治理工作量,并可能导致更多的故障和问题。
  • 安全性升高:多个 API 网关的部署可能会减少平安危险。对于每个 API 网关的保护和更新都须要进行独立的平安审计和更新,这可能会导致脱漏破绽或谬误配置的状况呈现,从而升高零碎的整体安全性。
  • 性能受影响:多个 API 网关的部署可能会导致性能升高,因为每个 API 网关都须要解决网络和访问控制等方面的开销,这可能会减少提早和资源耗费。
  • 难以保护:应用多个 API 网关也可能会使保护变得艰难,因为不同的 API 网关可能应用不同的技术和配置办法,这可能会导致凌乱和谬误的配置。

    O’Neill 对 API 平安有以下倡议:

  • 确保管理者领有组织内 API 的最新清单,这包含上游和上游 API 以及外部和内部 API。
  • 采纳 API 规范(如凋谢银行打算)来改善整体平安情况。
    小阑解读,通过以下平安伎俩,能够改善进步零碎的性能、可用性和安全性:
  • 优化架构:通过进行零碎设计和架构优化,能够将多个 API 网关合并为一个更简略、更对立的 API 网关。这有利于升高复杂性、进步安全性、晋升性能,并且更易于治理和保护。
  • 集中管理:应用集中式 API 管理工具,能够缩小反复的配置和管理工作,以及对立审计和更新 API 网关。这样能够进步管理效率、升高出错率并增强整体安全性。
  • 实时监控:应用实时监控工具能够对所有 API 网关进行对立的监控和报告。这样能够疾速发现和解决问题,从而进步零碎的可用性和稳定性。
  • 强化平安:采取多层次的安全策略,包含防火墙、入侵检测、访问控制和数据加密等技术,能够加强零碎的整体安全性。
    此外,还能够应用齐备的平安审计和破绽扫描等伎俩,确保零碎的安全性失去全面保障。
    预计将来的 API 管理工具将会持续解决身份验证和受权方面的挑战,同时还会呈现 API 特定的“扫描和发现”工具。此外,平安工具还能够提供运行时爱护性能,微网关则能够在肯定水平上避免 API 攻打。换句话说,将来开发 API 时,须要应用一些专门的工具来解决波及身份验证、受权、平安等问题,从而进步 API 的安全性和可靠性。
    同时,通过应用这些特定的工具和技术,能够更好地发现和解决 API 中存在的安全漏洞或问题,确保 API 零碎稳固、牢靠、平安。

对于分布式标识是古代 API 平安的要害
来自 Curity 的分享,是一篇对于分布式标识的文章。

分布式标识的确是古代 API 平安的要害之一。其次要作用是为了确保 API 调用者的身份验证和受权。传统的单点登录计划曾经不能满足云计算、微服务、容器化等简单环境下 API 的平安需要。在分布式系统中,API 调用者身份的认证和受权须要逾越多个服务边界进行验证,因而须要一个反对分布式场景的标识体系。
具体而言,分布式标识须要包含以下几个方面:

  • 全局唯一性:分布式标识必须是全局惟一的,这意味着每个申请都必须带有惟一标识以便于统计、审计和辨认。
  • 安全性:分布式标识必须是平安的,不可伪造的,以保障认证和受权的合法性。例如,应用 OAuth 2.0 协定能够通过令牌机制提供平安的认证和受权服务。
  • 可扩展性:分布式标识必须是可扩大的,在零碎规模扩充的状况下,它可能无缝地融入到整个零碎中,以满足业务需要。

    身份调配在实践中存在一些挑战,其中包含:

  • 简单的身份治理:身份调配通常波及到简单的身份管理工作,例如用户帐号和角色定义、权限治理等。这些管理工作须要定期更新和保护,以确保零碎的安全性和完整性。
  • 身份认证难度:身份调配须要执行正确的身份认证,但不同类型的身份认证能够有不同的挑战。例如,基于口令的认证可能面临明码泄露或者强度有余等问题,而基于生物特色的认证可能面临误辨认和坑骗攻打等问题。
  • 信赖建设:身份调配须要建设各个系统间的信赖关系,并确保身份信息的传递是牢靠和平安的。这须要应用适合的加密措施以及牢靠的身份验证和受权协定。
  • 风险管理:身份调配面临一些危险,例如,身份被盗用、身份信息泄露、未经受权拜访等。因而,身份调配须要联合危险管理策略,采取多种安全措施来防备这些危险的呈现。
  • 互相兼容:在多个零碎或应用程序间实现身份共享和调配时,须要保障各零碎之间的互操作性和数据兼容性。这须要应用标准化身份协定和 API 接口,以确保不同零碎之间可能良好地交互和共享身份信息。
  • 散发标识的最佳实际:采纳身份和拜访治理(IAM)工具来治理身份:应用 IAM 工具能够帮忙您自动化身份调配和权限管制,从而提高效率和安全性。此外,IAM 工具还反对身份验证、多因素认证、网关和应用程序防火墙等性能。
  • 采纳平安标识协定:应用平安标识协定来增强对散发标识的安全性,例如 OAuth2.0,OpenID Connect 等。这些协定能够帮忙您确保散发的标识是牢靠、平安的,而不会泄露进来。
  • 推广最小化权限策略:在散发标识时,肯定要遵循最小化准则,只调配必须的权限,以缩小攻击面。这能够通过基于角色进行权限治理来实现,并应用多层次的安全策略确保散发的身份是具备限度的。
  • 应用公钥加密技术来爱护数据:应用公钥加密技术来加密和存储散发标识数据能够保障数据安全,使攻击者更难冲破和透露。
  • 实现审计与监控: 须要施行审计与监控解决方案来跟踪和记录身份和拜访治理流动,以便及时发现并回应安全事件和威逼。
  • 建设规范流程和标准:建设散发标识的流程和标准,包含身份验证、受权程序等,能够帮忙保障认证和受权的一致性和完整性。
    感激 APIsecurity.io 提供相干内容
退出移动版