信息直達、能力開放、場景嵌入...開放API更要加強安全風險防范（文末獲取白皮書）

當前，數(shù)字競爭力已成為國家、企業(yè)整體競爭力的重要組成部分。API憑借信息直達、能力開放、場景嵌入的特點，成為企業(yè)絕佳的生態(tài)成員連接器。開放API作為一種新興商業(yè)模式，正在持續(xù)助力企業(yè)進一步延伸業(yè)務能力、加速場景創(chuàng)新。

以API開放不斷加大的金融行業(yè)為例，開放銀行的出現(xiàn)改變了產業(yè)服務與銀行服務過去孤立的局面，實現(xiàn)客戶資源和服務場景的雙向共享；同時促使消費數(shù)據與金融數(shù)據深度融合，加速金融服務的普惠進程以及互利共贏新生態(tài)的形成。

然而，開放API的不斷應用也在不斷加劇企業(yè)網絡安全環(huán)境的復雜性。作為網絡安全、數(shù)據安全、業(yè)務安全的交匯點，API面臨的安全風險正逐步顯現(xiàn)。

據北卡羅來納州立大學研究發(fā)現(xiàn)，超過100000個Git Hub存儲庫一直在泄漏秘密API令牌和加密密鑰，并且每天都有成千上萬的新存儲庫公開秘密。OWASP最新發(fā)布的API安全Top10風險清單，也依次列舉了API安全最可能、最常見、最危險的十大漏洞。

值得一提的是，相比2019年版，2023年版有了新增和更新刪除。但總體對比來看，身份認證和授權管理仍然持續(xù)位列榜首。

1、接入控制安全：包括認證鑒權、越權控制、參數(shù)控制和威脅控制等；

2、零信任訪問安全：包括持續(xù)認證身份、持續(xù)認證權限屬性、持續(xù)監(jiān)控動態(tài)策略，以及持續(xù)集成、交付等；

3、網絡安全：包括加密流量、DDoS 攻擊、CC 攻擊、BOT攻擊等；

4、應用安全：包括注入攻擊、資產梳理、敏感數(shù)據預計日志輸出分析等。

作為國內最早從事數(shù)字身份安全的派拉軟件而言，前兩項安全場景正是派拉軟件最為擅長的技術研發(fā)方向。這也為派拉軟件API安全產品與整體解決方案提供了先天優(yōu)勢。

例如，在訪問安全控制上，派拉軟件提供API安全網關完成API鑒權認證。只有通過鑒權認證的請求才能到達業(yè)務后端，從而使業(yè)務端可更好地聚焦于業(yè)務本身；

其次，會對敏感數(shù)據加密，通過使用國密算法等技術，有效解決了長報文加密性能問題和對稱密鑰傳輸安全問題；

在速率限制上，基于API網關進行流量限制，可支持IP限制、速率限制以及基于速率限制的IP黑白名單等多種模式。

整個訪問控制過程中，還可以聯(lián)動派拉軟件以“身份優(yōu)先”的一體化零信任解決方案，基于上下文的實時動態(tài)認證評估分析，并在基于風險的細粒度訪問控制策略與鑒權下，應用自適應授權機制后，讓實體接入并訪問特定的資源，確保只有正確的實體在正確的時間、正確的條件下才能訪問正確的資源。

此外，在API安全互聯(lián)上，打通企業(yè)云上、云間、云下通道，實現(xiàn)數(shù)據互聯(lián)互通；ServiceMesh云原生融合，保護調用服務安全；互聯(lián)網、第三方銀行、政府、終端全渠道對接企業(yè)核心業(yè)務場景，實現(xiàn)傳輸安全、開放安全、集成安全、數(shù)據分級分類安全、敏感數(shù)據識別；數(shù)據中臺的數(shù)據無代碼生成API，并通過網關對外快速開放互聯(lián)等。

在API資產發(fā)現(xiàn)與管理上，可快速識別并梳理企業(yè)API資產，并重點進行差異化的服務發(fā)布管控與全生命周期的上線管控，借助統(tǒng)一開放門戶，進行可視化在線管控。

在API安全風險監(jiān)測與管控上，對企業(yè)運行中的應用和API進行持續(xù)弱點監(jiān)測，實現(xiàn)50+AI 漏洞檢測模型，30+弱點分析基線，進行快速發(fā)現(xiàn)入侵檢測以及數(shù)據泄露風險，并及時阻斷API攻擊，降低重要數(shù)據資產的泄漏風險......

有關派拉軟件API安全產品解決方案在文末“往期閱讀”的幾篇文章中做過介紹，可以點擊鏈接查看。也可以點擊下方小程序鏈接獲取API產品解決方案直播回放：

派拉軟件API產品介紹直播回放

如果您想獲取更多詳細有關派拉軟件API安全網關與安全監(jiān)測產品介紹內容，可以掃描下方圖片二維碼，在線獲取《派拉軟件API產品白皮書》！