应该如何保护*intranet* REST API调用？

Question

这是一个场景。防火墙外部的用户在浏览器中执行UI操作。浏览器向系统A发出REST API调用(并在通过防火墙的入口点或其附近进行身份验证和授权)。系统A(在公司网络防火墙内)向系统B(也在公司网络防火墙内)发出REST API调用。

考虑到已经在系统A的入口点进行了身份验证和授权，从系统A到系统B的“内部”REST API调用的安全性是多少？

Answer 1

通常，使用strongish SSL (https连接)被认为是足够好的。如果您需要审核哪个System A提交了请求，则可能需要包括一种身份验证机制--为此，您可以使用以下任一项:客户端证书、HTTP Auth (基本或摘要)、用户名/密码作为请求参数、IP-地址映射、API等。

如果数据非常敏感，您可以使用物理上分离的网络或VPN在客户端和服务器之间建立专用连接。

Answer 2

新的(2018+)最佳实践将是以与保护外部服务完全相同的方式保护内部服务。

为什么？

因为超过60%的数据披露来自内部来源。内部系统和外部系统一样有可能破坏数据，因此您需要拥有与外部系统相同的控制。

Answer 3

首先，如果两者都在一个私有子网中，那么这已经是一个相当不错的安全性了。如果您有任何理由相信外部人员可以连接到该API，那么可以继续实现一个安全API密钥，该密钥在允许执行任何调用之前进行检查。