近日����,最新發(fā)布的《API 和機(jī)器人攻擊的經(jīng)濟(jì)影響》報(bào)告指出,由于存在漏洞或不安全的API以及機(jī)器人程序的自動(dòng)濫用�����,企業(yè)每年損失940億至1860億美元����。這些安全威脅占全球網(wǎng)絡(luò)事件和損失的11.8%����,對(duì)全球企業(yè)構(gòu)成的風(fēng)險(xiǎn)日益凸顯�����。
API作為萬(wàn)物互聯(lián)的接口和通道����,在當(dāng)前的網(wǎng)絡(luò)環(huán)境中,承擔(dān)著不同復(fù)雜系統(tǒng)環(huán)境�����、組織機(jī)構(gòu)間的數(shù)據(jù)傳輸交互重任����。
一方面�����,企業(yè)需要一個(gè)高性能�����、安全的統(tǒng)一流量入口;另一方面����,基于API網(wǎng)關(guān)的多協(xié)議支持能力,能夠?qū)⑵髽I(yè)內(nèi)部采用不同協(xié)議標(biāo)準(zhǔn)的接口連接起來(lái)�����,并對(duì)外暴露API接口�����;
最后�����,API網(wǎng)關(guān)號(hào)稱(chēng)“云原生的組件”�����,能很好地連接微服務(wù)化的業(yè)務(wù)架構(gòu)�����。這也是為什么近幾年企業(yè)API接口呈爆發(fā)式增長(zhǎng)����。
然而����,開(kāi)放API的不斷應(yīng)用與增長(zhǎng)也在不斷加深企業(yè)網(wǎng)絡(luò)安全環(huán)境的復(fù)雜性����,加大了企業(yè)網(wǎng)絡(luò)安全的暴露面,加劇了API安全風(fēng)險(xiǎn)����。因此,企業(yè)亟需在尋求各業(yè)務(wù)系統(tǒng)互聯(lián)互通����、開(kāi)放共享的基礎(chǔ)上,保障API安全����!
API網(wǎng)關(guān)
守好企業(yè)全接口流量的第一道門(mén)
API網(wǎng)關(guān)�����,企業(yè)API接口統(tǒng)一調(diào)度的流量入口����,守好企業(yè)全接口流量的第一道門(mén)����。它就好比高速收費(fèi)站�����,只有通過(guò)認(rèn)證或交費(fèi)成功的車(chē)輛才能放行����。在這個(gè)安全調(diào)度過(guò)程中,API網(wǎng)關(guān)承載著數(shù)十種基礎(chǔ)能力:
路由轉(zhuǎn)發(fā)是網(wǎng)關(guān)最核心的能力����,也就是我們常說(shuō)的反向代理,可以屏蔽消費(fèi)者或第三方直接訪問(wèn)后端服務(wù)�����,保護(hù)后端服務(wù)不被非法調(diào)用�����,既解決了消費(fèi)者和服務(wù)提供者的解耦�����,又增強(qiáng)了訪問(wèn)安全。消費(fèi)者不需要知道后端服務(wù)����,只需調(diào)用API網(wǎng)關(guān),后續(xù)調(diào)用由網(wǎng)關(guān)進(jìn)行統(tǒng)一轉(zhuǎn)發(fā)給后端服務(wù)�����。
協(xié)議轉(zhuǎn)換和格式轉(zhuǎn)換
協(xié)議轉(zhuǎn)換和格式轉(zhuǎn)換主要解決商業(yè)套件或存量業(yè)務(wù)系統(tǒng)需要對(duì)外集成�����,而自身沒(méi)有改造能力或改造成本過(guò)高����,就需要網(wǎng)關(guān)進(jìn)行協(xié)議轉(zhuǎn)換,降低消費(fèi)者和服務(wù)提供者的集成難度����,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)之間快速集成。
流量控制主要是用于雙十一促銷(xiāo)或者不確定流量蜂擁下對(duì)后端服務(wù)保護(hù)的一種手段����。可以從不同的維度進(jìn)行流量控制�����,例如:消費(fèi)者�����、服務(wù)提供方����、IP、應(yīng)用����、服務(wù)、API����、時(shí)間,也可以進(jìn)行自定義限制策略�����,例如:從請(qǐng)求頭的標(biāo)識(shí)或者響應(yīng)報(bào)文的內(nèi)容進(jìn)行限流�����。
灰度發(fā)布也稱(chēng)為金絲雀發(fā)布,用于逐漸引入新版本的軟件或功能到生產(chǎn)環(huán)境中�����,以降低潛在風(fēng)險(xiǎn)�����。這種方法可以幫助開(kāi)發(fā)團(tuán)隊(duì)在正式發(fā)布之前測(cè)試新功能�����、修復(fù)潛在問(wèn)題�����,并逐步將其推向更廣泛的用戶(hù)群體����。灰度發(fā)布的策略以業(yè)務(wù)為準(zhǔn)����,例如區(qū)域�����、用戶(hù)等級(jí)、業(yè)務(wù)屬性等等�����。
熔斷降級(jí)應(yīng)用于分布式系統(tǒng)和微服務(wù)架構(gòu)中�����,有助于防止系統(tǒng)過(guò)載或故障時(shí)的系統(tǒng)崩潰����,允許系統(tǒng)在一些情況下繼續(xù)提供基本的服務(wù)。熔斷降級(jí)需要滿(mǎn)足如下指標(biāo):
可用性提高:確保系統(tǒng)在面臨異常情況時(shí)仍能夠提供核心服務(wù)�����,從而提高系統(tǒng)的可用性����。
防止雪崩效應(yīng):在高負(fù)載或故障情況下,防止一次請(qǐng)求失敗引發(fā)大規(guī)模的失敗,從而防止雪崩效應(yīng)�����。
自動(dòng)恢復(fù):一旦系統(tǒng)恢復(fù)正常����,它們將自動(dòng)重新打開(kāi)或提高服務(wù)級(jí)別。
監(jiān)控和報(bào)警:記錄熔斷和降級(jí)事件����,并觸發(fā)警報(bào)以通知操作人員,以便進(jìn)一步的干預(yù)或調(diào)查����。
對(duì)非法訪問(wèn)API進(jìn)行攔截和阻止,并防止傳輸過(guò)程中的數(shù)據(jù)篡改和泄露風(fēng)險(xiǎn)����,主要包括數(shù)據(jù)加密����、數(shù)據(jù)脫敏����、滲透測(cè)試防護(hù)�����、防爬蟲(chóng)�����、防重放、IP黑白名單等多種方式�����。
確保用戶(hù)或?qū)嶓w的身份是合法的�����,防止未經(jīng)認(rèn)證和授權(quán)就可以訪問(wèn)API資源����,針對(duì)應(yīng)用的認(rèn)證主要是有API Key、Oauth2����、Hmac、數(shù)字證書(shū)�����、JWT等認(rèn)證方式。授權(quán)主要分為網(wǎng)關(guān)授權(quán)����、API授權(quán)、參數(shù)授權(quán)三級(jí)授權(quán)體系����。
熱部署主要是新增功能不需要停機(jī)就可以實(shí)現(xiàn)的一種方式,可以提高應(yīng)用程序的可用性和靈活性�����,但在實(shí)施時(shí)需謹(jǐn)慎處理����,確保安全性和穩(wěn)定性。它特別適用于需要實(shí)現(xiàn)零停機(jī)時(shí)間和快速反應(yīng)用戶(hù)需求的場(chǎng)景����。
一種在運(yùn)行應(yīng)用程序中動(dòng)態(tài)加載和卸載插件或模塊,以擴(kuò)展應(yīng)用程序的功能或改變其行為的技術(shù)�����。這種方式允許應(yīng)用程序在不停機(jī)或重新啟動(dòng)的情況下進(jìn)行功能擴(kuò)展,從而提供更大的靈活性和可定制性�����。
API治理
管好企業(yè)API全生命周期服務(wù)與安全
在API網(wǎng)關(guān)防護(hù)基礎(chǔ)上�����,派拉軟件還以項(xiàng)目為視角����,提供了體系化的API治理����,幫助企業(yè)完成API全生命周期管理,包括API設(shè)計(jì)�����、API開(kāi)發(fā)����、API測(cè)試、API發(fā)布�����、API授權(quán)、API審批�����、應(yīng)用調(diào)用退出�����、導(dǎo)入導(dǎo)出�����、API安全等����。
結(jié)合API門(mén)戶(hù),作為企業(yè)對(duì)外開(kāi)放窗口�����,展示企業(yè)所有的業(yè)務(wù)能力����,實(shí)現(xiàn)應(yīng)用集成的一體化自動(dòng)流程����,包括API中心����、API文檔、開(kāi)發(fā)者中心����、多租戶(hù)自助申請(qǐng)等多種功能模塊。
第三方合作伙伴或開(kāi)發(fā)者可以通過(guò)API門(mén)戶(hù)快速便捷的集成和調(diào)用企業(yè)的服務(wù)�����,以降低集成和開(kāi)發(fā)成本����,提高溝通效率�����,加強(qiáng)API全生命周期安全管控����。
API安全
再加一層企業(yè)API安全防護(hù)罩
最后����,針對(duì)企業(yè)所有API資產(chǎn)����,派拉軟件還提供了安全監(jiān)測(cè)與安全防護(hù)能力。
API安全監(jiān)測(cè)負(fù)責(zé)API的安全體檢�����。即通過(guò)虛擬機(jī)或者流量鏡像進(jìn)行流量采集����,采用AI引擎和大數(shù)據(jù)模型分析后,實(shí)現(xiàn)API資產(chǎn)自動(dòng)梳理�����、API生命周期防護(hù)安全����、API風(fēng)險(xiǎn)識(shí)別、API弱點(diǎn)漏洞發(fā)現(xiàn)����、敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)測(cè)�����,構(gòu)建用戶(hù)�����、API�����、應(yīng)用�����、IP四位一體的全流程安全監(jiān)控和全鏈路安全追蹤�����。
API防護(hù)則負(fù)責(zé)治病救人�����。即遵循安全規(guī)范,通過(guò)新型的安全防護(hù)對(duì)傳統(tǒng)的訪問(wèn)控制機(jī)制進(jìn)行擴(kuò)展����,支持復(fù)雜的策略控制要求����,使用控制策略控制使用方的目標(biāo)角色在確定的時(shí)間和位置�����、通過(guò)何種應(yīng)用����、以多大量級(jí)的訪問(wèn)和處理數(shù)據(jù)。
具體包括身份認(rèn)證����、安全防護(hù)、授權(quán)�����、數(shù)據(jù)安全�����、網(wǎng)絡(luò)通信安全,如下圖所示:
有了這三大API安全保障�����,企業(yè)可快速打通全業(yè)務(wù)鏈����,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)與服務(wù)的集成,并可視化安全管控百萬(wàn)級(jí)接口協(xié)同�����,極大提升企業(yè)全業(yè)務(wù)鏈間的數(shù)據(jù)共享與協(xié)作交互����。
例如,在睿藍(lán)汽車(chē)成功實(shí)踐案例中����,企業(yè)在API接口管理上,降低了業(yè)務(wù)系統(tǒng)被攻擊以及敏感信息泄露的風(fēng)險(xiǎn)�����,應(yīng)用安全審計(jì)投入成本減少30% +�����;降低了API資產(chǎn)的梳理難度����,減少人工投入40%+;
及時(shí)關(guān)閉棄用接口服務(wù)����,釋放服務(wù)器資源,資源利用率提高20%+�����;實(shí)現(xiàn)系統(tǒng)化的運(yùn)行管理�����,降低系統(tǒng)復(fù)雜程度����,形成更高效的數(shù)據(jù)傳輸網(wǎng)絡(luò),復(fù)用率提高超30% ......
員工身份與訪問(wèn)控制eIAM
客戶(hù)身份與訪問(wèn)控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線(xiàn)
特權(quán)訪問(wèn)管理PAM
數(shù)據(jù)庫(kù)訪問(wèn)管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國(guó)產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門(mén)戶(hù)
.png)
.png)
.png)
熱門(mén)文章
7*24小時(shí)服務(wù)
專(zhuān)屬安全顧問(wèn)
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)