信息直達(dá)、能力開(kāi)放、場(chǎng)景嵌入...開(kāi)放API更要加強(qiáng)安全風(fēng)險(xiǎn)防范（文末獲取白皮書(shū)）

當(dāng)前，數(shù)字競(jìng)爭(zhēng)力已成為國(guó)家、企業(yè)整體競(jìng)爭(zhēng)力的重要組成部分。API憑借信息直達(dá)、能力開(kāi)放、場(chǎng)景嵌入的特點(diǎn)，成為企業(yè)絕佳的生態(tài)成員連接器。開(kāi)放API作為一種新興商業(yè)模式，正在持續(xù)助力企業(yè)進(jìn)一步延伸業(yè)務(wù)能力、加速場(chǎng)景創(chuàng)新。

以API開(kāi)放不斷加大的金融行業(yè)為例，開(kāi)放銀行的出現(xiàn)改變了產(chǎn)業(yè)服務(wù)與銀行服務(wù)過(guò)去孤立的局面，實(shí)現(xiàn)客戶資源和服務(wù)場(chǎng)景的雙向共享；同時(shí)促使消費(fèi)數(shù)據(jù)與金融數(shù)據(jù)深度融合，加速金融服務(wù)的普惠進(jìn)程以及互利共贏新生態(tài)的形成。

然而，開(kāi)放API的不斷應(yīng)用也在不斷加劇企業(yè)網(wǎng)絡(luò)安全環(huán)境的復(fù)雜性。作為網(wǎng)絡(luò)安全、數(shù)據(jù)安全、業(yè)務(wù)安全的交匯點(diǎn)，API面臨的安全風(fēng)險(xiǎn)正逐步顯現(xiàn)。

據(jù)北卡羅來(lái)納州立大學(xué)研究發(fā)現(xiàn)，超過(guò)100000個(gè)Git Hub存儲(chǔ)庫(kù)一直在泄漏秘密API令牌和加密密鑰，并且每天都有成千上萬(wàn)的新存儲(chǔ)庫(kù)公開(kāi)秘密。OWASP最新發(fā)布的API安全Top10風(fēng)險(xiǎn)清單，也依次列舉了API安全最可能、最常見(jiàn)、最危險(xiǎn)的十大漏洞。

值得一提的是，相比2019年版，2023年版有了新增和更新刪除。但總體對(duì)比來(lái)看，身份認(rèn)證和授權(quán)管理仍然持續(xù)位列榜首。

1、接入控制安全：包括認(rèn)證鑒權(quán)、越權(quán)控制、參數(shù)控制和威脅控制等；

2、零信任訪問(wèn)安全：包括持續(xù)認(rèn)證身份、持續(xù)認(rèn)證權(quán)限屬性、持續(xù)監(jiān)控動(dòng)態(tài)策略，以及持續(xù)集成、交付等；

3、網(wǎng)絡(luò)安全：包括加密流量、DDoS 攻擊、CC 攻擊、BOT攻擊等；

4、應(yīng)用安全：包括注入攻擊、資產(chǎn)梳理、敏感數(shù)據(jù)預(yù)計(jì)日志輸出分析等。

作為國(guó)內(nèi)最早從事數(shù)字身份安全的派拉軟件而言，前兩項(xiàng)安全場(chǎng)景正是派拉軟件最為擅長(zhǎng)的技術(shù)研發(fā)方向。這也為派拉軟件API安全產(chǎn)品與整體解決方案提供了先天優(yōu)勢(shì)。

例如，在訪問(wèn)安全控制上，派拉軟件提供API安全網(wǎng)關(guān)完成API鑒權(quán)認(rèn)證。只有通過(guò)鑒權(quán)認(rèn)證的請(qǐng)求才能到達(dá)業(yè)務(wù)后端，從而使業(yè)務(wù)端可更好地聚焦于業(yè)務(wù)本身；

其次，會(huì)對(duì)敏感數(shù)據(jù)加密，通過(guò)使用國(guó)密算法等技術(shù)，有效解決了長(zhǎng)報(bào)文加密性能問(wèn)題和對(duì)稱密鑰傳輸安全問(wèn)題；

在速率限制上，基于API網(wǎng)關(guān)進(jìn)行流量限制，可支持IP限制、速率限制以及基于速率限制的IP黑白名單等多種模式。

整個(gè)訪問(wèn)控制過(guò)程中，還可以聯(lián)動(dòng)派拉軟件以“身份優(yōu)先”的一體化零信任解決方案，基于上下文的實(shí)時(shí)動(dòng)態(tài)認(rèn)證評(píng)估分析，并在基于風(fēng)險(xiǎn)的細(xì)粒度訪問(wèn)控制策略與鑒權(quán)下，應(yīng)用自適應(yīng)授權(quán)機(jī)制后，讓實(shí)體接入并訪問(wèn)特定的資源，確保只有正確的實(shí)體在正確的時(shí)間、正確的條件下才能訪問(wèn)正確的資源。

此外，在API安全互聯(lián)上，打通企業(yè)云上、云間、云下通道，實(shí)現(xiàn)數(shù)據(jù)互聯(lián)互通；ServiceMesh云原生融合，保護(hù)調(diào)用服務(wù)安全；互聯(lián)網(wǎng)、第三方銀行、政府、終端全渠道對(duì)接企業(yè)核心業(yè)務(wù)場(chǎng)景，實(shí)現(xiàn)傳輸安全、開(kāi)放安全、集成安全、數(shù)據(jù)分級(jí)分類(lèi)安全、敏感數(shù)據(jù)識(shí)別；數(shù)據(jù)中臺(tái)的數(shù)據(jù)無(wú)代碼生成API，并通過(guò)網(wǎng)關(guān)對(duì)外快速開(kāi)放互聯(lián)等。

在API資產(chǎn)發(fā)現(xiàn)與管理上，可快速識(shí)別并梳理企業(yè)API資產(chǎn)，并重點(diǎn)進(jìn)行差異化的服務(wù)發(fā)布管控與全生命周期的上線管控，借助統(tǒng)一開(kāi)放門(mén)戶，進(jìn)行可視化在線管控。

在API安全風(fēng)險(xiǎn)監(jiān)測(cè)與管控上，對(duì)企業(yè)運(yùn)行中的應(yīng)用和API進(jìn)行持續(xù)弱點(diǎn)監(jiān)測(cè)，實(shí)現(xiàn)50+AI 漏洞檢測(cè)模型，30+弱點(diǎn)分析基線，進(jìn)行快速發(fā)現(xiàn)入侵檢測(cè)以及數(shù)據(jù)泄露風(fēng)險(xiǎn)，并及時(shí)阻斷API攻擊，降低重要數(shù)據(jù)資產(chǎn)的泄漏風(fēng)險(xiǎn)......

有關(guān)派拉軟件API安全產(chǎn)品解決方案在文末“往期閱讀”的幾篇文章中做過(guò)介紹，可以點(diǎn)擊鏈接查看。也可以點(diǎn)擊下方小程序鏈接獲取API產(chǎn)品解決方案直播回放：

派拉軟件API產(chǎn)品介紹直播回放

如果您想獲取更多詳細(xì)有關(guān)派拉軟件API安全網(wǎng)關(guān)與安全監(jiān)測(cè)產(chǎn)品介紹內(nèi)容，可以掃描下方圖片二維碼，在線獲取《派拉軟件API產(chǎn)品白皮書(shū)》！