本文介紹了API安全的內建策略及自訂策略配置。在內建檢測機制的基礎上,API安全支援自訂符合業務特徵的檢測策略。您可以進行風險檢測配置、安全事件配置、敏感性資料配置、鑒權憑據配置、業務用途配置、白名單配置、生命週期管理、日誌訂閱和生效對象配置,使得識別出的API資料更符合您的實際業務情況,進一步提高API安全檢測的準確率與召回率,協助您結合業務情況進行相應處置,降低API業務資產遭受攻擊帶來的損失。
一、風險檢測配置
風險是指介面因開發缺陷,或者管理、配置缺陷而導致的安全風險或安全隱患。安全風險與安全事件的區別是,安全風險並不一定代表發生了攻擊,而安全事件則代表被攻擊產生的警示。
內建策略配置
在策略配置的風險檢測配置頁簽,可以查看已經配置的風險策略,內建策略目前支援更改開啟和關閉狀態,及風險等級調整。您可以結合您的業務情況將內建策略的風險等級調整為低危、中危、高危中的一種。
自訂策略配置
除了內建策略外,風險檢測配置允許您自訂配置最多20條自訂策略,自訂策略配置規則如下。
在API安全頁面,選擇策略配置>風險檢測配置頁簽。
在左欄自訂策略處單擊新增,在彈出的抽屜頁進行相關配置,具體的配置項如下表所示。
配置項名稱
說明
風險狀態
設定策略狀態,預設為開。
風險名稱
設定自訂風險的名稱。支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
處置建議
根據您的業務情況設定自訂風險策略的處理建議。
風險等級
支援低危、中危、高危三個風險等級設定。
檢測設定
設定您的自訂風險策略檢測條件,最多支援10個條件。
關於檢測設定的詳細配置,對應邏輯符和匹配內容樣本如下表所示。
說明匹配內容可以輸入最多50個,並按斷行符號鍵確認。
當您完成自訂配置後,單擊確定按鈕儲存該配置。
二、安全事件配置
安全事件是指介面發生了異常調用或攻擊行為,比如登入介面被爆破攻擊、簡訊發送介面被人濫用進行簡訊轟炸等。內建事件檢測以IP為檢測粒度,同時相同IP段、API、事件類型且在同一天發生的事件,會被彙總成一條警示。
內建策略配置
安全事件的內建策略在觸發警示後,如果IP還在持續攻擊,不會產生新一條警示,但原來那條警示的攻擊時間會隨之更新,事件警示等級也會隨著攻擊量等情況發生變化。
在策略配置的安全事件配置頁簽,可以查看已經配置的安全事件策略,內建策略目前不支援編輯修改或刪除。
自訂策略配置
除了內建策略外,安全事件配置允許您自訂配置最多10條自訂策略,自訂策略配置規則如下。
在API安全頁面,選擇策略配置>安全事件配置頁簽。
在左欄自訂策略處單擊新增,在彈出的抽屜頁進行相關配置,具體的配置項如下表所示。
配置項名稱
說明
事件狀態
設定策略狀態,預設為開啟。
事件名稱
設定自訂事件的名稱。支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
處置建議
根據您的業務情況設定自訂安全事件的處理建議。
事件等級
支援低危、中危、高危三個風險等級的設定。
匹配條件
設定您的自訂安全事件策略檢測條件,最多支援10個條件。
說明如果定義了多個條件,則只有當多個條件同時滿足時,才算命中規則。
統計周期
以分鐘為粒度,最大可設定為15分鐘。
請求量
限制輸入正整數。
資料統計
設定您的自訂安全事件策略統計條件,最多支援10個條件。
關於匹配條件的詳細配置,對應邏輯符和匹配內容樣本及詳細資料,請參考風險檢測部分詳細配置。
說明匹配內容最多輸入50個,並按斷行符號鍵確認。
關於資料統計的詳細配置,對應邏輯符和匹配內容樣本如下表所示。
當您完成自訂配置時單擊確定按鈕儲存該配置。
三、敏感性資料配置
在策略配置的敏感性資料配置頁簽,可以搜尋、篩選、查看已經配置的敏感性資料策略。
脫敏展示
在敏感性資料配置頁簽中提供了脫敏展示開關,預設為關閉狀態,不進行資料脫敏展示。
脫敏展示開啟後,會對以下資訊進行脫敏處理:
風險詳情和API詳情中,請求範例和響應範例的全欄位預設將敏感性資料替換為預留位置
{{Phone}}。安全事件的事件詳情中,包含敏感性資料的請求資料範例和響應資料範例被脫敏展示為
{}。範例資訊中Request Cookie脫敏為
{{Cookie}}、包含Token的Request Header脫敏為{{XXXToken}}、Response SetCookie脫敏為{{SetCookie}}。
脫敏展示功能的生效範圍如下:
風險詳情和API詳情:僅對新增的請求資料範例和響應資料範例資訊生效。
事件詳情:對新增和存量的請求資料範例和響應資料範例資訊都生效。
內建策略配置
內建策略目前不支援編輯、修改或刪除,僅支援更改開啟和關閉狀態。
自訂策略配置
如果您在業務中存在自己定義的敏感性資料,您可以配置自訂敏感性資料檢測規則。敏感性資料配置允許您自訂配置最多20條自訂策略,自訂策略配置規則如下。
在API安全頁面,選擇策略配置>敏感性資料配置頁簽。
單擊建立策略按鈕,在彈出的抽屜頁進行相關配置,目前支援簡易模式和專家模式兩種模式的自訂策略配置方法。
配置項
說明
名稱
為該規則設定一個名稱。
支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
模式
設定自訂策略的檢測模式。
簡易模式:提供簡易的配置介面,便於操作。
選擇簡易模式後,您需要設定檢測的字元和長度。
字元:支援檢測數字、大寫字母、小寫字母,可多選。
長度:支援檢測的長度範圍為6~64,且起始值和結束值需為整數。
專家模式:支援Regex。
選擇專家模式後,您需要填寫檢測的Regex。為避免誤識別,請確保正則匹配的命中字元不少於6位。
等級
設定檢測的敏感性資料的等級。可選項:S1、S2、S3、S4。
說明關于敏感資料類型的詳細資料,請參見API安全支援檢測哪些敏感性資料。
當您完成自訂配置時單擊確定按鈕儲存該配置。
四、鑒權憑據配置
如果您在業務中使用了非常規欄位作為您的鑒權欄位,或者純數字等特徵較弱的鑒權欄位名稱,推薦您配置自訂鑒權憑據。在系統內建的鑒權憑據識別的基礎上,您可以指定參數名,用於輔助內建模型準確識別判斷請求中是否攜帶鑒權憑據,從而提升API安全,以及提高未鑒權風險識別的準確率。
在API安全頁面,選擇策略配置>鑒權憑據配置頁簽。
單擊建立策略,完成如下配置後,單擊確定。
配置項
說明
名稱
為該原則設定一個名稱。
支援中文和大小寫英文字母,可包含數字、半形句號(.)、底線(_)和短劃線(-)。
匹配條件
每個條件由匹配欄位、邏輯符和匹配內容組成。最多支援10個條件。在配置時請添加至少一個請求Header、請求Cookie、請求Query、請求Body的匹配條件。
說明如果定義了多個條件,則只有當多個條件同時滿足時,才算命中規則。
關於匹配條件的詳細配置,對應邏輯符和匹配內容樣本如下表所示。
說明匹配內容可以輸入最多50個,並按斷行符號鍵確認。
五、業務用途配置
API安全提供如下兩種業務用途策略配置:
內建策略配置
支援多個情境的業務用途策略,包括資料更新、資料分享、手機簡訊發送、資訊發送等。內建策略不支援修改或刪除,您可以根據業務需要,開啟或關閉對應策略。
自訂策略配置
如果內建策略不滿足業務需求,您可以自訂URL特徵、參數名特徵,進一步提升API安全在具體業務情境中的檢測準確率。
在API安全頁面,選擇策略配置>業務用途配置頁簽。
單擊自訂策略進入自訂策略管理,單擊建立策略,完成如下配置後,單擊確定儲存您的配置。
匹配內容可以輸入最多50個,並按斷行符號鍵確認。
六、白名單配置
API安全的白名單配置功能支援您自訂配置您的安全事件及風險檢測白名單,協助您結合業務實際情況過濾不需要關注的警示噪音,例如來自辦公網路出口的IP地址所產生的警示,提升業務營運效率。
在API安全頁面,選擇策略配置>白名單配置頁簽。
單擊建立策略,輸入您想建立的策略名稱稱,並選擇希望配置白名單的功能類型,目前支援配置風險檢測和安全事件白名單。
根據您選擇希望配置白名單的功能類型,完成匹配條件設定。
說明匹配條件最多支援10個
風險檢測白名單策略匹配條件
匹配欄位
邏輯符
匹配內容
網域名稱
包含多值之一
不包含任一值
等於多值之一
不等於任一值
可以輸入多個,最多50個,按斷行符號鍵確認。
API
包含多值之一
不包含任一值
等於多值之一
不等於任一值
可以輸入多個,最多50個,按斷行符號鍵確認。
安全事件白名單策略匹配條件
匹配欄位
邏輯符
匹配內容
網域名稱
包含多值之一
不包含任一值
等於多值之一
不等於任一值
可以輸入多個,最多50個,按斷行符號鍵確認。
API
包含多值之一
不包含任一值
等於多值之一
不等於任一值
可以輸入多個,最多50個,按斷行符號鍵確認。
IP
屬於
不屬於
請填入IP或IP/掩碼(例如:1.1.X.X/24)。暫不支援正則,最多填寫50個,以英文逗號分隔,或者按斷行符號鍵確認。
選擇不檢測的風險檢測或安全事件類型,單擊確定儲存您的配置。
說明不檢測類型支援內建和自訂,支援多選。
七、生命週期管理
API安全支援通過設定日訪問量、期間,來自訂失活介面的判斷標準,使得失活API檢測更符合業務情況。API生命週期管理可以協助您識別符合您自訂標準的失活API介面,並輔助您及時處置,防止被攻擊者利用失活介面進行攻擊,造成不必要的業務損失。
在API安全頁面,選擇策略配置>生命週期管理頁簽。
設定失活API判斷標準後,單擊確定。
說明API的失活狀態持續30天后,資產列表會刪除該記錄。
單擊內建模型。
表示使用內建的判斷標準,即近8天無訪問量或訪問量大幅下跌的API介面為失活API。
單擊自訂,並設定日訪問量、期間(最大為31天)。
表示如果某一API介面持續在一段時間內的日訪問量小於設定的次數時,該API介面被判定為失活API。
八、日誌訂閱
當您開啟資產資訊、風險資訊或者事件資訊的日誌訂閱後,在觸發日誌投遞條件時,可以將對應日誌投遞至您在Log Service控制台建立的指定的LogStore中。方便您基於阿里雲Log ServiceSLS的功能進行日誌統一管理及操作。
目前僅支援中國內地的WAF執行個體向中國內地的Log ServiceLogStore中投遞日誌,非中國內地的WAF執行個體向非中國內地的Log ServiceLogStore中投遞日誌,不支援跨中國內地、非中國內地的日誌投遞。
開通服務角色
如果您沒有開通過Web Application Firewall服務關聯角色,在您使用API安全日誌訂閱服務之前,需要您根據提示,開通Web Application Firewall服務關聯角色,用於授權Web Application Firewall訪問您的其他雲產品資源,關於服務關聯角色的詳細資料,請參見服務關聯角色。如果您此前開通WAFLog Service等功能時已完成授權,請忽略此步驟。
日誌訂閱配置
在您配置API安全的相關日誌訂閱任務之前,請開啟Log Service控制台,建立希望接收日誌訂閱Project和LogStore,若您已經建立完成目標LogStore且核對符合命名規則,請直接進行下一步操作。
說明日誌訂閱功能當前不支援選擇Log Service自動建立的以及您自訂命名為“waf-logstore”、“wafng-logstore” 和 “wafnew-logstore” 的Logstore作為日誌訂閱的目標。
建立完成後,返回日誌訂閱的頁簽,進行您的資產資訊、風險資訊、攻擊事件資訊訂閱配置。如果您希望通過Log Service控制台對投遞到指定Logstore的日誌分析查詢操作,請先根據提示開通索引,具體操作請參見建立索引。
選擇要執行日誌訂閱任務的日誌類型,單擊配置按鈕進入配置頁面。
選擇您希望配置日誌訂閱任務的Logstore所在Region,Project名稱和Logstore名稱,單擊確定按鈕儲存配置。配置完成後,在觸發相應條件產生日誌後,您可以回到Log Service控制台的對應Logstore中,查詢分析相關日誌。如您希望對日誌進行資料脫敏等加工處理,請參見資料加工。
如果您關閉該日誌訂閱任務後,不需要已有日誌,並希望存放日誌訂閱的Logstore不產生後續約用,請在日誌訂閱頁簽關閉任務後,刪除對應的Logstore,具體操作請參見如何關閉Log Service或停止計費。
日誌訂閱任務的觸發條件及詳細欄位說明如下。
您在Log Service中建立的雲資源與開通索引等操作會產生額外費用,由Log Service產品進行計費,計費項目及價格請參見Log Service計費概述。
建立Project或Logstore後,未開啟日誌訂閱任務時仍可能會產生費用,當您確保不再使用建立的Logstore時,請及時刪除,避免產生額外費用,請參見為什麼只建立Project和Logstore會產生費用。
資產資訊日誌
日誌訂閱任務觸發條件:
新增API資產後會立即投遞資產資訊日誌。
若無新增API資產,預設每1小時定時投遞一次資產資訊日誌。
風險資訊日誌
日誌訂閱任務觸發條件:當檢測到新增風險資訊時,會將風險資訊日誌投遞至您指定的LogStore中。
攻擊事件資訊日誌
日誌訂閱任務觸發條件:
當檢測到新增攻擊事件時,會將新增攻擊事件資訊日誌投遞至您指定的LogStore中。
若攻擊持續進行,則攻擊事件資訊日誌會間隔10分鐘持續投遞至您指定的LogStore中。
日誌訂閱欄位值說明
如果您在分析或查詢日誌的過程中,需要瞭解日誌中欄位值的含義,或者查看其對應控制台介面顯示的說明,請參照下表進行使用。表中說明列的內容,即為該日誌欄位的值在 Web Application Firewall控制台中的名稱。
九、生效對象配置
API安全提供三個防護對象或防護對象組層級的生效開關:
總開關:控制所有內建檢測機制和自訂檢測策略是否生效。
合規審查開關:控制合規審查功能是否生效,僅在總開關開啟後,才能開啟。
溯源審計開關:控制溯源審計功能是否生效,僅在總開關開啟後,才能開啟。
網域名稱或執行個體接入WAF後,不同計費模式下,API安全開關預設生效規則不同:
訂用帳戶模式:總開關預設開啟、合規審查和溯源審計開關預設關閉。
隨用隨付模式:總開關預設關閉。
您可以在頁簽,開啟或關閉總開關、合規審查或溯源審計開關。