近日,最新發(fā)布的《API 和機器人攻擊的經(jīng)濟影響》報告指出,由于存在漏洞或不安全的API以及機器人程序的自動濫用,企業(yè)每年損失940億至1860億美元。這些安全威脅占全球網(wǎng)絡(luò)事件和損失的11.8%,對全球企業(yè)構(gòu)成的風(fēng)險日益凸顯。
API作為萬物互聯(lián)的接口和通道,在當前的網(wǎng)絡(luò)環(huán)境中,承擔(dān)著不同復(fù)雜系統(tǒng)環(huán)境、組織機構(gòu)間的數(shù)據(jù)傳輸交互重任。
一方面,企業(yè)需要一個高性能、安全的統(tǒng)一流量入口;另一方面,基于API網(wǎng)關(guān)的多協(xié)議支持能力,能夠?qū)⑵髽I(yè)內(nèi)部采用不同協(xié)議標準的接口連接起來,并對外暴露API接口;
最后,API網(wǎng)關(guān)號稱“云原生的組件”,能很好地連接微服務(wù)化的業(yè)務(wù)架構(gòu)。這也是為什么近幾年企業(yè)API接口呈爆發(fā)式增長。
然而,開放API的不斷應(yīng)用與增長也在不斷加深企業(yè)網(wǎng)絡(luò)安全環(huán)境的復(fù)雜性,加大了企業(yè)網(wǎng)絡(luò)安全的暴露面,加劇了API安全風(fēng)險。因此,企業(yè)亟需在尋求各業(yè)務(wù)系統(tǒng)互聯(lián)互通、開放共享的基礎(chǔ)上,保障API安全!
01
API網(wǎng)關(guān)
守好企業(yè)全接口流量的第一道門
API網(wǎng)關(guān),企業(yè)API接口統(tǒng)一調(diào)度的流量入口,守好企業(yè)全接口流量的第一道門。它就好比高速收費站,只有通過認證或交費成功的車輛才能放行。在這個安全調(diào)度過程中,API網(wǎng)關(guān)承載著數(shù)十種基礎(chǔ)能力:
1
路由轉(zhuǎn)發(fā)
路由轉(zhuǎn)發(fā)是網(wǎng)關(guān)最核心的能力,也就是我們常說的反向代理,可以屏蔽消費者或第三方直接訪問后端服務(wù),保護后端服務(wù)不被非法調(diào)用,既解決了消費者和服務(wù)提供者的解耦,又增強了訪問安全。消費者不需要知道后端服務(wù),只需調(diào)用API網(wǎng)關(guān),后續(xù)調(diào)用由網(wǎng)關(guān)進行統(tǒng)一轉(zhuǎn)發(fā)給后端服務(wù)。
2
協(xié)議轉(zhuǎn)換和格式轉(zhuǎn)換
協(xié)議轉(zhuǎn)換和格式轉(zhuǎn)換主要解決商業(yè)套件或存量業(yè)務(wù)系統(tǒng)需要對外集成,而自身沒有改造能力或改造成本過高,就需要網(wǎng)關(guān)進行協(xié)議轉(zhuǎn)換,降低消費者和服務(wù)提供者的集成難度,實現(xiàn)業(yè)務(wù)系統(tǒng)之間快速集成。
3
流量控制
流量控制主要是用于雙十一促銷或者不確定流量蜂擁下對后端服務(wù)保護的一種手段??梢詮牟煌木S度進行流量控制,例如:消費者、服務(wù)提供方、IP、應(yīng)用、服務(wù)、API、時間,也可以進行自定義限制策略,例如:從請求頭的標識或者響應(yīng)報文的內(nèi)容進行限流。
4
灰度發(fā)布
灰度發(fā)布也稱為金絲雀發(fā)布,用于逐漸引入新版本的軟件或功能到生產(chǎn)環(huán)境中,以降低潛在風(fēng)險。這種方法可以幫助開發(fā)團隊在正式發(fā)布之前測試新功能、修復(fù)潛在問題,并逐步將其推向更廣泛的用戶群體?;叶劝l(fā)布的策略以業(yè)務(wù)為準,例如區(qū)域、用戶等級、業(yè)務(wù)屬性等等。
5
熔斷降級
熔斷降級應(yīng)用于分布式系統(tǒng)和微服務(wù)架構(gòu)中,有助于防止系統(tǒng)過載或故障時的系統(tǒng)崩潰,允許系統(tǒng)在一些情況下繼續(xù)提供基本的服務(wù)。熔斷降級需要滿足如下指標:
可用性提高:確保系統(tǒng)在面臨異常情況時仍能夠提供核心服務(wù),從而提高系統(tǒng)的可用性。
防止雪崩效應(yīng):在高負載或故障情況下,防止一次請求失敗引發(fā)大規(guī)模的失敗,從而防止雪崩效應(yīng)。
自動恢復(fù):一旦系統(tǒng)恢復(fù)正常,它們將自動重新打開或提高服務(wù)級別。
監(jiān)控和報警:記錄熔斷和降級事件,并觸發(fā)警報以通知操作人員,以便進一步的干預(yù)或調(diào)查。
6
安全防護
對非法訪問API進行攔截和阻止,并防止傳輸過程中的數(shù)據(jù)篡改和泄露風(fēng)險,主要包括數(shù)據(jù)加密、數(shù)據(jù)脫敏、滲透測試防護、防爬蟲、防重放、IP黑白名單等多種方式。
7
身份驗證和訪問控制
確保用戶或?qū)嶓w的身份是合法的,防止未經(jīng)認證和授權(quán)就可以訪問API資源,針對應(yīng)用的認證主要是有API Key、Oauth2、Hmac、數(shù)字證書、JWT等認證方式。授權(quán)主要分為網(wǎng)關(guān)授權(quán)、API授權(quán)、參數(shù)授權(quán)三級授權(quán)體系。
8
熱部署
熱部署主要是新增功能不需要停機就可以實現(xiàn)的一種方式,可以提高應(yīng)用程序的可用性和靈活性,但在實施時需謹慎處理,確保安全性和穩(wěn)定性。它特別適用于需要實現(xiàn)零停機時間和快速反應(yīng)用戶需求的場景。
9
插件在線擴展
一種在運行應(yīng)用程序中動態(tài)加載和卸載插件或模塊,以擴展應(yīng)用程序的功能或改變其行為的技術(shù)。這種方式允許應(yīng)用程序在不停機或重新啟動的情況下進行功能擴展,從而提供更大的靈活性和可定制性。
02
API治理
管好企業(yè)API全生命周期服務(wù)與安全
在API網(wǎng)關(guān)防護基礎(chǔ)上,派拉軟件還以項目為視角,提供了體系化的API治理,幫助企業(yè)完成API全生命周期管理,包括API設(shè)計、API開發(fā)、API測試、API發(fā)布、API授權(quán)、API審批、應(yīng)用調(diào)用退出、導(dǎo)入導(dǎo)出、API安全等。
結(jié)合API門戶,作為企業(yè)對外開放窗口,展示企業(yè)所有的業(yè)務(wù)能力,實現(xiàn)應(yīng)用集成的一體化自動流程,包括API中心、API文檔、開發(fā)者中心、多租戶自助申請等多種功能模塊。
第三方合作伙伴或開發(fā)者可以通過API門戶快速便捷的集成和調(diào)用企業(yè)的服務(wù),以降低集成和開發(fā)成本,提高溝通效率,加強API全生命周期安全管控。
03
API安全
再加一層企業(yè)API安全防護罩
最后,針對企業(yè)所有API資產(chǎn),派拉軟件還提供了安全監(jiān)測與安全防護能力。
API安全監(jiān)測負責(zé)API的安全體檢。即通過虛擬機或者流量鏡像進行流量采集,采用AI引擎和大數(shù)據(jù)模型分析后,實現(xiàn)API資產(chǎn)自動梳理、API生命周期防護安全、API風(fēng)險識別、API弱點漏洞發(fā)現(xiàn)、敏感數(shù)據(jù)流轉(zhuǎn)監(jiān)測,構(gòu)建用戶、API、應(yīng)用、IP四位一體的全流程安全監(jiān)控和全鏈路安全追蹤。
API防護則負責(zé)治病救人。即遵循安全規(guī)范,通過新型的安全防護對傳統(tǒng)的訪問控制機制進行擴展,支持復(fù)雜的策略控制要求,使用控制策略控制使用方的目標角色在確定的時間和位置、通過何種應(yīng)用、以多大量級的訪問和處理數(shù)據(jù)。
具體包括身份認證、安全防護、授權(quán)、數(shù)據(jù)安全、網(wǎng)絡(luò)通信安全,如下圖所示:
有了這三大API安全保障,企業(yè)可快速打通全業(yè)務(wù)鏈,實現(xiàn)業(yè)務(wù)系統(tǒng)與服務(wù)的集成,并可視化安全管控百萬級接口協(xié)同,極大提升企業(yè)全業(yè)務(wù)鏈間的數(shù)據(jù)共享與協(xié)作交互。
例如,在睿藍汽車成功實踐案例中,企業(yè)在API接口管理上,降低了業(yè)務(wù)系統(tǒng)被攻擊以及敏感信息泄露的風(fēng)險,應(yīng)用安全審計投入成本減少30% +;降低了API資產(chǎn)的梳理難度,減少人工投入40%+;
及時關(guān)閉棄用接口服務(wù),釋放服務(wù)器資源,資源利用率提高20%+;實現(xiàn)系統(tǒng)化的運行管理,降低系統(tǒng)復(fù)雜程度,形成更高效的數(shù)據(jù)傳輸網(wǎng)絡(luò),復(fù)用率提高超30% ......