Cloudflare API Shield 简介

小提示：您能找到这篇{Cloudflare API Shield 简介}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的Cloudflare API Shield 简介内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">API 是连入互联网的现代应用程序的命脉。它们每分每秒都在执行来自移动应用程序的请求：下达这份外卖订单、“点赞”这张图片、发送命令到 IoT 设备、解锁车门、启动洗涤周期，通知有人刚跑完五千米，以及不计其数的其他指令。

< font-size: 16px;">意图执行未经授权操作或泄露数据的攻击四处蔓延，也将这些 API 作为攻击目标。正如 Gartner 数据所示，“到 2021 年，90％ 支持 Web 的应用程序因为开放 API 而非 UI 而具有更大的攻击表面，2019 年的比例为 40％”，并且“Gartner 预计到 2022 年，API 滥用将从不常见的攻击手段转变为最频繁的攻击手段，导致企业 Web 应用程序发生数据泄露”[1][2]。在每秒穿越 Cloudflare 网络的 1800 万个请求中，50％抖音母婴带货 是针对 API 的，其中大多数请求因为恶意而被阻止。

< font-size: 16px;">为了应对这些威胁，Cloudflare 通过使用强大的基于客户端证书的身份识别和严格的基于模式的验证，来简化 API 的安全保护。截至今天，这些功能已在新发产品“API Shield”中面向我们的所有计划免费提供给客户。安全性优势目前也已扩展到基于 gRPC 的 API ，这类 API 使用二进制格式（例如协议缓冲区）而非 JSON，在我们客户群中也越来越受到欢迎。

< font-size: 16px;">

< font-size: 16px;">继续阅读可进一步了解新功能的更多信息；或者，直接跳转至“演示”段落，获取有关如何开始配置第一条 API Shield 规则的示例。

< font-size: 16px;">正向安全模型和客户端证书

< font-size: 16px;">所谓“正向安全”模型，指的是仅允许已知行为和身份而拒绝其他一切的模型。它与 Web 应用程序防火墙（WAF）实施的传统“负向安全性”模型相反，后者允许除了源自有问题的 IP、ASN、国家或地区的请网络舆情监控制度求或具有问题签名（SQL 注入行为等）的请求以外的所有内容。

< font-size: 16px;">为 API 实施正向安全模型是消除证书填充攻击和其他自动扫描工具的噪声的最直接方法。若要采用正向模型，第一步是部署强大的身份验证，例如双向 TLS 身份验证，这种身份验证不易受到重用或共用密码的影响。

< font-size: 16px;">我们在 2014 年通过推出 Universal SSL 来简化服务器证书的颁发，与之类似，API Shield 可将颁发客户端证书的过程缩减为只需点击 Cloudflare 仪表板中的几个按钮。通过提供完全托管的私有公钥基础结构（PKI），您可以专注于开发应用程序和功能，而不必操作和保护自己的证书颁发机构（CA）。

< font-size: 16px;">

< font-size: 16px;">使用模式验证执行有效的请求

< font-size: 16px;">一旦开发人员能够确信只有合法客户端（持有 SSL 证书）才可连接他们的 API，那么实施正向安全模型的下一步就是确保这些客户端发出有效的请求。从设备提取客户端证书并在其他地方重用比较困难，但也并非毫无可能，因此确保 API 调用符合预期也很重要。

< font-size: 16px;">API 开发人员可能没有预料到含有无关输入的请求，如果应用程序直接处理这些请求，那么可能会导致问题。因此，应尽可能在边缘丢弃这些请求。在 API 模式验证工作时，它会将 API 请求的内容（URL 后面的查询参数和 POST 正文的内容）与包含用来规定预期内容的规则的协定或“模式”进行匹配。如果验证失败，则阻止 API 调用，以保护源站免受无效请求或恶意有效载荷的侵害。

< font-size: 16px;">模式验证当前处于 JSON 有效载荷封闭测试中，gRPC/协议缓冲区则已在路线图中有相应计划。如果您想参加测试，请打开主题为“API Schema Validation Beta”的支持票证。测试结束后，我们计划将模式验证作为 API Shield 用户界面的一部分提供。

< font-size: 16px;">

< font-size: 16px;">展望未来

< font-size: 16px;">在未来几个月中，我们计划扩展 API Shield，添加一些旨在保护 API 流量的其他功能。如果客户想要使用自己的 PKI，我们也提供了导入自有 CA 的功能，这些功能目前已作为 Cloudflare Access 的一部分提供。

< font-size: 16px;">收到有关 Beta 版模式验证的反馈后，我们会设法面向所有客户提供这个功能。如果您正在试用 Beta 版并想分享自己的想法，欢迎您提供反馈。

< font-size: 16px;">除了证书和模式验证外，我们也将布置其他 API 安全功能和深度分析功能，以帮助您更好地了解 API。

< font-size: 16px;">1：“到 2021 年，90％ 支持 Web 的应用程序因为开放 API 而非 UI 而具有更大的攻击表面，2019 年的比例为 40％”。资料来源：Gartner“Gartner 的 API 战略成熟度模型”，Saniye Alaybeyi 和 Mark O'Neill，2019 年 10 月 21 日。（需要订阅 Gartner）

< font-size: 16px;">2：“Gartner 预计到 2022 年，API 滥用将从不常见的攻击手段转变为最频繁的攻击手段，导致企业 Web 应用程序发生数据泄露”。资料来源：Gartner，“API 战略中的冷静供应商”，Shameen Pillai、Paolo Malinverno、Mark O'Neill 和 Jeremy D'Hoinne，2020 年 5 月 18 日（需要订阅 Gartner）