近日�����,最新發(fā)布的《API 和機器人攻擊的經濟影響》報告指出��,由于存在漏洞或不安全的API以及機器人程序的自動濫用����,企業(yè)每年損失940億至1860億美元。這些安全威脅占全球網絡事件和損失的11.8%�����,對全球企業(yè)構成的風險日益凸顯�。
API作為萬物互聯的接口和通道,在當前的網絡環(huán)境中��,承擔著不同復雜系統環(huán)境���、組織機構間的數據傳輸交互重任����。
一方面,企業(yè)需要一個高性能��、安全的統一流量入口�����;另一方面���,基于API網關的多協議支持能力�,能夠將企業(yè)內部采用不同協議標準的接口連接起來�����,并對外暴露API接口��;
最后����,API網關號稱“云原生的組件”,能很好地連接微服務化的業(yè)務架構�����。這也是為什么近幾年企業(yè)API接口呈爆發(fā)式增長��。
然而��,開放API的不斷應用與增長也在不斷加深企業(yè)網絡安全環(huán)境的復雜性�,加大了企業(yè)網絡安全的暴露面,加劇了API安全風險���。因此��,企業(yè)亟需在尋求各業(yè)務系統互聯互通�����、開放共享的基礎上����,保障API安全����!
API網關,企業(yè)API接口統一調度的流量入口���,守好企業(yè)全接口流量的第一道門����。它就好比高速收費站,只有通過認證或交費成功的車輛才能放行�。在這個安全調度過程中,API網關承載著數十種基礎能力:
路由轉發(fā)是網關最核心的能力���,也就是我們常說的反向代理���,可以屏蔽消費者或第三方直接訪問后端服務,保護后端服務不被非法調用�����,既解決了消費者和服務提供者的解耦��,又增強了訪問安全����。消費者不需要知道后端服務,只需調用API網關�,后續(xù)調用由網關進行統一轉發(fā)給后端服務。
協議轉換和格式轉換主要解決商業(yè)套件或存量業(yè)務系統需要對外集成�,而自身沒有改造能力或改造成本過高,就需要網關進行協議轉換���,降低消費者和服務提供者的集成難度����,實現業(yè)務系統之間快速集成�。
流量控制主要是用于雙十一促銷或者不確定流量蜂擁下對后端服務保護的一種手段?���?梢詮牟煌木S度進行流量控制,例如:消費者��、服務提供方���、IP��、應用�、服務�、API、時間��,也可以進行自定義限制策略����,例如:從請求頭的標識或者響應報文的內容進行限流����。
灰度發(fā)布也稱為金絲雀發(fā)布�,用于逐漸引入新版本的軟件或功能到生產環(huán)境中,以降低潛在風險����。這種方法可以幫助開發(fā)團隊在正式發(fā)布之前測試新功能、修復潛在問題�����,并逐步將其推向更廣泛的用戶群體��?����;叶劝l(fā)布的策略以業(yè)務為準���,例如區(qū)域����、用戶等級��、業(yè)務屬性等等。
熔斷降級應用于分布式系統和微服務架構中�,有助于防止系統過載或故障時的系統崩潰,允許系統在一些情況下繼續(xù)提供基本的服務����。熔斷降級需要滿足如下指標:
可用性提高:確保系統在面臨異常情況時仍能夠提供核心服務����,從而提高系統的可用性。
防止雪崩效應:在高負載或故障情況下��,防止一次請求失敗引發(fā)大規(guī)模的失敗���,從而防止雪崩效應���。
自動恢復:一旦系統恢復正常,它們將自動重新打開或提高服務級別�。
監(jiān)控和報警:記錄熔斷和降級事件,并觸發(fā)警報以通知操作人員�,以便進一步的干預或調查。
對非法訪問API進行攔截和阻止���,并防止傳輸過程中的數據篡改和泄露風險����,主要包括數據加密、數據脫敏����、滲透測試防護、防爬蟲��、防重放����、IP黑白名單等多種方式。
確保用戶或實體的身份是合法的�����,防止未經認證和授權就可以訪問API資源�,針對應用的認證主要是有API Key、Oauth2���、Hmac�、數字證書��、JWT等認證方式。授權主要分為網關授權�����、API授權����、參數授權三級授權體系。
熱部署主要是新增功能不需要停機就可以實現的一種方式��,可以提高應用程序的可用性和靈活性�,但在實施時需謹慎處理�,確保安全性和穩(wěn)定性。它特別適用于需要實現零停機時間和快速反應用戶需求的場景�����。
一種在運行應用程序中動態(tài)加載和卸載插件或模塊�,以擴展應用程序的功能或改變其行為的技術。這種方式允許應用程序在不停機或重新啟動的情況下進行功能擴展�����,從而提供更大的靈活性和可定制性�����。
API治理
管好企業(yè)API全生命周期服務與安全
在API網關防護基礎上,派拉軟件還以項目為視角�����,提供了體系化的API治理��,幫助企業(yè)完成API全生命周期管理����,包括API設計、API開發(fā)�、API測試、API發(fā)布�����、API授權�、API審批、應用調用退出���、導入導出�、API安全等����。
結合API門戶�,作為企業(yè)對外開放窗口��,展示企業(yè)所有的業(yè)務能力�����,實現應用集成的一體化自動流程�����,包括API中心�、API文檔、開發(fā)者中心�����、多租戶自助申請等多種功能模塊��。
第三方合作伙伴或開發(fā)者可以通過API門戶快速便捷的集成和調用企業(yè)的服務����,以降低集成和開發(fā)成本���,提高溝通效率���,加強API全生命周期安全管控�。
最后���,針對企業(yè)所有API資產����,派拉軟件還提供了安全監(jiān)測與安全防護能力��。
API安全監(jiān)測負責API的安全體檢。即通過虛擬機或者流量鏡像進行流量采集,采用AI引擎和大數據模型分析后��,實現API資產自動梳理���、API生命周期防護安全、API風險識別�、API弱點漏洞發(fā)現、敏感數據流轉監(jiān)測�,構建用戶、API��、應用���、IP四位一體的全流程安全監(jiān)控和全鏈路安全追蹤�����。
API防護則負責治病救人����。即遵循安全規(guī)范,通過新型的安全防護對傳統的訪問控制機制進行擴展����,支持復雜的策略控制要求,使用控制策略控制使用方的目標角色在確定的時間和位置����、通過何種應用、以多大量級的訪問和處理數據�����。
具體包括身份認證�����、安全防護�����、授權��、數據安全��、網絡通信安全�����,如下圖所示:
有了這三大API安全保障�,企業(yè)可快速打通全業(yè)務鏈,實現業(yè)務系統與服務的集成�����,并可視化安全管控百萬級接口協同�����,極大提升企業(yè)全業(yè)務鏈間的數據共享與協作交互����。
例如,在睿藍汽車成功實踐案例中��,企業(yè)在API接口管理上,降低了業(yè)務系統被攻擊以及敏感信息泄露的風險����,應用安全審計投入成本減少30% +;降低了API資產的梳理難度����,減少人工投入40%+;
及時關閉棄用接口服務����,釋放服務器資源,資源利用率提高20%+����;實現系統化的運行管理,降低系統復雜程度�����,形成更高效的數據傳輸網絡��,復用率提高超30% ......
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認證IDA
細粒度權限管理xBAC
API安全網關API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務總線
特權訪問管理PAM
數據庫訪問管理CQ
數據治理平臺PDMP
一體化零信任
運維安全
數據安全治理
遠程辦公安全
國產化替代
企業(yè)合規(guī)管控
數字化集成平臺
數字化員工門戶
.png)
.png)
.png)
熱門文章
7*24小時服務
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權威安全認證
滬公網安備 31011502012922號