近日����,最新發(fā)布的《API 和機器人攻擊的經(jīng)濟影響》報告指出��,由于存在漏洞或不安全的API以及機器人程序的自動濫用,企業(yè)每年損失940億至1860億美元。這些安全威脅占全球網(wǎng)絡(luò)事件和損失的11.8%,對全球企業(yè)構(gòu)成的風(fēng)險日益凸顯。
API作為萬物互聯(lián)的接口和通道��,在當(dāng)前的網(wǎng)絡(luò)環(huán)境中���,承擔(dān)著不同復(fù)雜系統(tǒng)環(huán)境���、組織機構(gòu)間的數(shù)據(jù)傳輸交互重任�。
一方面���,企業(yè)需要一個高性能��、安全的統(tǒng)一流量入口����;另一方面���,基于API網(wǎng)關(guān)的多協(xié)議支持能力����,能夠?qū)⑵髽I(yè)內(nèi)部采用不同協(xié)議標(biāo)準(zhǔn)的接口連接起來�,并對外暴露API接口;
最后,API網(wǎng)關(guān)號稱“云原生的組件”��,能很好地連接微服務(wù)化的業(yè)務(wù)架構(gòu)。這也是為什么近幾年企業(yè)API接口呈爆發(fā)式增長�����。
然而����,開放API的不斷應(yīng)用與增長也在不斷加深企業(yè)網(wǎng)絡(luò)安全環(huán)境的復(fù)雜性���,加大了企業(yè)網(wǎng)絡(luò)安全的暴露面���,加劇了API安全風(fēng)險��。因此,企業(yè)亟需在尋求各業(yè)務(wù)系統(tǒng)互聯(lián)互通����、開放共享的基礎(chǔ)上,保障API安全�!
API網(wǎng)關(guān)
守好企業(yè)全接口流量的第一道門
API網(wǎng)關(guān)��,企業(yè)API接口統(tǒng)一調(diào)度的流量入口,守好企業(yè)全接口流量的第一道門���。它就好比高速收費站,只有通過認證或交費成功的車輛才能放行�。在這個安全調(diào)度過程中���,API網(wǎng)關(guān)承載著數(shù)十種基礎(chǔ)能力:
路由轉(zhuǎn)發(fā)是網(wǎng)關(guān)最核心的能力����,也就是我們常說的反向代理���,可以屏蔽消費者或第三方直接訪問后端服務(wù),保護后端服務(wù)不被非法調(diào)用,既解決了消費者和服務(wù)提供者的解耦���,又增強了訪問安全。消費者不需要知道后端服務(wù)��,只需調(diào)用API網(wǎng)關(guān)�,后續(xù)調(diào)用由網(wǎng)關(guān)進行統(tǒng)一轉(zhuǎn)發(fā)給后端服務(wù)。
協(xié)議轉(zhuǎn)換和格式轉(zhuǎn)換
協(xié)議轉(zhuǎn)換和格式轉(zhuǎn)換主要解決商業(yè)套件或存量業(yè)務(wù)系統(tǒng)需要對外集成�����,而自身沒有改造能力或改造成本過高���,就需要網(wǎng)關(guān)進行協(xié)議轉(zhuǎn)換,降低消費者和服務(wù)提供者的集成難度�����,實現(xiàn)業(yè)務(wù)系統(tǒng)之間快速集成��。
流量控制主要是用于雙十一促銷或者不確定流量蜂擁下對后端服務(wù)保護的一種手段���?����?梢詮牟煌木S度進行流量控制�,例如:消費者��、服務(wù)提供方��、IP�����、應(yīng)用����、服務(wù)、API�����、時間���,也可以進行自定義限制策略���,例如:從請求頭的標(biāo)識或者響應(yīng)報文的內(nèi)容進行限流���。
灰度發(fā)布也稱為金絲雀發(fā)布,用于逐漸引入新版本的軟件或功能到生產(chǎn)環(huán)境中�����,以降低潛在風(fēng)險����。這種方法可以幫助開發(fā)團隊在正式發(fā)布之前測試新功能��、修復(fù)潛在問題���,并逐步將其推向更廣泛的用戶群體��?�;叶劝l(fā)布的策略以業(yè)務(wù)為準(zhǔn)����,例如區(qū)域����、用戶等級�、業(yè)務(wù)屬性等等�。
熔斷降級應(yīng)用于分布式系統(tǒng)和微服務(wù)架構(gòu)中,有助于防止系統(tǒng)過載或故障時的系統(tǒng)崩潰�����,允許系統(tǒng)在一些情況下繼續(xù)提供基本的服務(wù)�。熔斷降級需要滿足如下指標(biāo):
可用性提高:確保系統(tǒng)在面臨異常情況時仍能夠提供核心服務(wù),從而提高系統(tǒng)的可用性�����。
防止雪崩效應(yīng):在高負載或故障情況下���,防止一次請求失敗引發(fā)大規(guī)模的失敗���,從而防止雪崩效應(yīng)。
自動恢復(fù):一旦系統(tǒng)恢復(fù)正常���,它們將自動重新打開或提高服務(wù)級別�。
監(jiān)控和報警:記錄熔斷和降級事件��,并觸發(fā)警報以通知操作人員����,以便進一步的干預(yù)或調(diào)查���。
對非法訪問API進行攔截和阻止,并防止傳輸過程中的數(shù)據(jù)篡改和泄露風(fēng)險�����,主要包括數(shù)據(jù)加密���、數(shù)據(jù)脫敏、滲透測試防護�����、防爬蟲�����、防重放����、IP黑白名單等多種方式。
確保用戶或?qū)嶓w的身份是合法的���,防止未經(jīng)認證和授權(quán)就可以訪問API資源���,針對應(yīng)用的認證主要是有API Key��、Oauth2��、Hmac����、數(shù)字證書�、JWT等認證方式。授權(quán)主要分為網(wǎng)關(guān)授權(quán)��、API授權(quán)�、參數(shù)授權(quán)三級授權(quán)體系。
熱部署主要是新增功能不需要停機就可以實現(xiàn)的一種方式�,可以提高應(yīng)用程序的可用性和靈活性,但在實施時需謹(jǐn)慎處理����,確保安全性和穩(wěn)定性。它特別適用于需要實現(xiàn)零停機時間和快速反應(yīng)用戶需求的場景���。
一種在運行應(yīng)用程序中動態(tài)加載和卸載插件或模塊�����,以擴展應(yīng)用程序的功能或改變其行為的技術(shù)����。這種方式允許應(yīng)用程序在不停機或重新啟動的情況下進行功能擴展,從而提供更大的靈活性和可定制性��。
API治理
管好企業(yè)API全生命周期服務(wù)與安全
在API網(wǎng)關(guān)防護基礎(chǔ)上�����,派拉軟件還以項目為視角��,提供了體系化的API治理����,幫助企業(yè)完成API全生命周期管理���,包括API設(shè)計���、API開發(fā)、API測試、API發(fā)布�����、API授權(quán)���、API審批���、應(yīng)用調(diào)用退出、導(dǎo)入導(dǎo)出����、API安全等。
結(jié)合API門戶����,作為企業(yè)對外開放窗口,展示企業(yè)所有的業(yè)務(wù)能力��,實現(xiàn)應(yīng)用集成的一體化自動流程���,包括API中心��、API文檔�、開發(fā)者中心、多租戶自助申請等多種功能模塊�����。
第三方合作伙伴或開發(fā)者可以通過API門戶快速便捷的集成和調(diào)用企業(yè)的服務(wù)��,以降低集成和開發(fā)成本���,提高溝通效率��,加強API全生命周期安全管控��。
最后����,針對企業(yè)所有API資產(chǎn)�����,派拉軟件還提供了安全監(jiān)測與安全防護能力�。
API安全監(jiān)測負責(zé)API的安全體檢���。即通過虛擬機或者流量鏡像進行流量采集�,采用AI引擎和大數(shù)據(jù)模型分析后,實現(xiàn)API資產(chǎn)自動梳理����、API生命周期防護安全、API風(fēng)險識別��、API弱點漏洞發(fā)現(xiàn)�、敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)測,構(gòu)建用戶����、API、應(yīng)用��、IP四位一體的全流程安全監(jiān)控和全鏈路安全追蹤����。
API防護則負責(zé)治病救人。即遵循安全規(guī)范�����,通過新型的安全防護對傳統(tǒng)的訪問控制機制進行擴展���,支持復(fù)雜的策略控制要求����,使用控制策略控制使用方的目標(biāo)角色在確定的時間和位置、通過何種應(yīng)用�����、以多大量級的訪問和處理數(shù)據(jù)��。
具體包括身份認證�、安全防護、授權(quán)��、數(shù)據(jù)安全����、網(wǎng)絡(luò)通信安全,如下圖所示:
有了這三大API安全保障���,企業(yè)可快速打通全業(yè)務(wù)鏈���,實現(xiàn)業(yè)務(wù)系統(tǒng)與服務(wù)的集成,并可視化安全管控百萬級接口協(xié)同�����,極大提升企業(yè)全業(yè)務(wù)鏈間的數(shù)據(jù)共享與協(xié)作交互�����。
例如����,在睿藍汽車成功實踐案例中,企業(yè)在API接口管理上�,降低了業(yè)務(wù)系統(tǒng)被攻擊以及敏感信息泄露的風(fēng)險,應(yīng)用安全審計投入成本減少30% +�����;降低了API資產(chǎn)的梳理難度�,減少人工投入40%+;
及時關(guān)閉棄用接口服務(wù)��,釋放服務(wù)器資源���,資源利用率提高20%+���;實現(xiàn)系統(tǒng)化的運行管理,降低系統(tǒng)復(fù)雜程度����,形成更高效的數(shù)據(jù)傳輸網(wǎng)絡(luò)���,復(fù)用率提高超30% ......
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
.png)
.png)
.png)
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認證
滬公網(wǎng)安備 31011502012922號