En 400-6655-581
5
返回列表
> 資源中心 > 文章>產品>API> 信息直達、能力開放、場景嵌入...開放API更要加強安全風險防范(文末獲取白皮書)

信息直達、能力開放、場景嵌入...開放API更要加強安全風險防范(文末獲取白皮書)

文章

2024-04-25瀏覽次數(shù):665

當前,數(shù)字競爭力已成為國家、企業(yè)整體競爭力的重要組成部分。API憑借信息直達、能力開放、場景嵌入的特點,成為企業(yè)絕佳的生態(tài)成員連接器。開放API作為一種新興商業(yè)模式,正在持續(xù)助力企業(yè)進一步延伸業(yè)務能力、加速場景創(chuàng)新。

 

以API開放不斷加大的金融行業(yè)為例,開放銀行的出現(xiàn)改變了產業(yè)服務與銀行服務過去孤立的局面,實現(xiàn)客戶資源和服務場景的雙向共享;同時促使消費數(shù)據(jù)與金融數(shù)據(jù)深度融合,加速金融服務的普惠進程以及互利共贏新生態(tài)的形成。

 

然而,開放API的不斷應用也在不斷加劇企業(yè)網(wǎng)絡安全環(huán)境的復雜性。作為網(wǎng)絡安全、數(shù)據(jù)安全、業(yè)務安全的交匯點,API面臨的安全風險正逐步顯現(xiàn)。

 

據(jù)北卡羅來納州立大學研究發(fā)現(xiàn),超過100000個Git Hub存儲庫一直在泄漏秘密API令牌和加密密鑰,并且每天都有成千上萬的新存儲庫公開秘密。OWASP最新發(fā)布的API安全Top10風險清單,也依次列舉了API安全最可能、最常見、最危險的十大漏洞。

 

值得一提的是,相比2019年版,2023年版有了新增和更新刪除。但總體對比來看,身份認證和授權管理仍然持續(xù)位列榜首。

 

圖片

 

換句話說,做好API身份與訪問控制管理對于企業(yè)API安全防護至關重要。當然,API涉及的安全場景還有很多,總體可以分為以下4類:

 

1、接入控制安全:包括認證鑒權、越權控制、參數(shù)控制和威脅控制等;

 

2、零信任訪問安全:包括持續(xù)認證身份、持續(xù)認證權限屬性、持續(xù)監(jiān)控動態(tài)策略,以及持續(xù)集成、交付等;

 

3、網(wǎng)絡安全:包括加密流量、DDoS 攻擊、CC 攻擊、BOT攻擊等;

 

4、應用安全:包括注入攻擊、資產梳理、敏感數(shù)據(jù)預計日志輸出分析等。

 

作為國內最早從事數(shù)字身份安全的派拉軟件而言,前兩項安全場景正是派拉軟件最為擅長的技術研發(fā)方向。這也為派拉軟件API安全產品與整體解決方案提供了先天優(yōu)勢。

 

例如,在訪問安全控制上,派拉軟件提供API安全網(wǎng)關完成API鑒權認證。只有通過鑒權認證的請求才能到達業(yè)務后端,從而使業(yè)務端可更好地聚焦于業(yè)務本身;

 

其次,會對敏感數(shù)據(jù)加密,通過使用國密算法等技術,有效解決了長報文加密性能問題和對稱密鑰傳輸安全問題;

 

在速率限制上,基于API網(wǎng)關進行流量限制,可支持IP限制、速率限制以及基于速率限制的IP黑白名單等多種模式。

 

整個訪問控制過程中,還可以聯(lián)動派拉軟件以“身份優(yōu)先”的一體化零信任解決方案,基于上下文的實時動態(tài)認證評估分析,并在基于風險的細粒度訪問控制策略與鑒權下,應用自適應授權機制后,讓實體接入并訪問特定的資源,確保只有正確的實體在正確的時間、正確的條件下才能訪問正確的資源。

 

此外,在API安全互聯(lián)上,打通企業(yè)云上、云間、云下通道,實現(xiàn)數(shù)據(jù)互聯(lián)互通;ServiceMesh云原生融合,保護調用服務安全;互聯(lián)網(wǎng)、第三方銀行、政府、終端全渠道對接企業(yè)核心業(yè)務場景,實現(xiàn)傳輸安全、開放安全、集成安全、數(shù)據(jù)分級分類安全、敏感數(shù)據(jù)識別;數(shù)據(jù)中臺的數(shù)據(jù)無代碼生成API,并通過網(wǎng)關對外快速開放互聯(lián)等。

 

在API資產發(fā)現(xiàn)與管理上,可快速識別并梳理企業(yè)API資產,并重點進行差異化的服務發(fā)布管控與全生命周期的上線管控,借助統(tǒng)一開放門戶,進行可視化在線管控。

 

在API安全風險監(jiān)測與管控上,對企業(yè)運行中的應用和API進行持續(xù)弱點監(jiān)測,實現(xiàn)50+AI 漏洞檢測模型,30+弱點分析基線,進行快速發(fā)現(xiàn)入侵檢測以及數(shù)據(jù)泄露風險,并及時阻斷API攻擊,降低重要數(shù)據(jù)資產的泄漏風險......

 

有關派拉軟件API安全產品解決方案在文末“往期閱讀”的幾篇文章中做過介紹,可以點擊鏈接查看。也可以點擊下方小程序鏈接獲取API產品解決方案直播回放:

派拉軟件API產品介紹直播回放

 

如果您想獲取更多詳細有關派拉軟件API安全網(wǎng)關與安全監(jiān)測產品介紹內容,可以掃描下方圖片二維碼,在線獲取《派拉軟件API產品白皮書》!

 

 

 

API產品白皮書獲取

圖片