实现API安全的全生命周期管理
作者: 日期:2021年08月31日 阅:5,838

随着企业互联网化进程的不断深入,越来越多的业务被迁移到互联网上,大量的业务交互和对外服务,导致企业大量使用API。因此,API已经成为业务的一个关键组件,企业必须优化和加速API,以提高App应用的性能、可靠性和用户体验。

大多数企业认为API安全是他们希望解决的首要问题。面对互联网上飞速变革的业务形态,企业正在创建开放式API以满足不断变化的需求。然而,开放式API的安全负担更大,因为利用自动化工具通过合法帐户进行API滥用已成为开放式API攻击的主流。注入攻击、DDOS攻击、身份账号安全、敏感数据泄漏、参数篡改等API资产使用运维过程中引入的新风险给安全运维带来了极大挑战。

然而传统API网关只能为客户提供身份认证、权限管控及内容校验等安全功能,这些功能的使用需要具备大量的应用开发工作,同时由于来自自动化工具的请求内容和正常请求并没有差别,这些安全机制几乎无用武之地。基于以上防护需求,本期发布牛品推荐第十七期——瑞数信息:API安全管控平台。

标签

API安全,自动化攻击防护,动态安全资产管理

用户痛点

API面临的安全威胁

为了方便与其他企业快速对接,大量的企业使用Http/RESTful API,这也使得API的安全问题更为严峻,API面临的主要安全威胁如下:

  • API资产管理· API接口无法扫描和探测,大量的API资产如何收集?· API资产如何实现全生命周期管理?
  • API安全攻击风险· API面临各种安全攻击(业务逻辑层面的安全攻击和WEB应用技术层面的安全攻击),如何有效识别和防护?· 如何进行API请求参数的合规性检验?
  • 敏感数据管控· 如何识别API访问中的敏感数据并进行过滤和拦截?· 如何对API接口传输中的敏感数据实现控制,如脱敏?
  • 访问行为管控· 如何有效管理API的访问行为,识别异常的访问行为?· 从API访问中如何甄别出真正的业务安全风险?

传统API解决方案问题凸显

传统API安全网关更多是在API请求的身份认证、权限管控、请求内容校验与过滤以及API流量限速等方面进行防护,但是这些防护功能都与应用开发高度相关,应用程序修改后往往也需要修改API安全网关的配置,造成的部署与维护成本都极为高昂;尤其是企业近年来在业务上对API的依赖不断增长,API功能也在不断扩充与加强,传统API安全网关的维护工作量问题愈加凸显,因此,许多企业开始弃用传统API安全网关。

鉴于传统API安全网关部署与维护成本过高,而且无法有效防护新兴的自动化工具威胁的弊端,瑞数信息创新地推出了API安全管控平台,从而解决API面临的各种安全风险与挑战,实现API的资产管理、攻击防护、敏感数据管控和访问行为管控。

解决方案

瑞数API安全管控平台(API BotDefender)

瑞数API安全管控平台(API BotDefender)包括API资产管理、攻击防护、敏感数据管控和访问行为管控四大模块,为API接口提供完整的安全管控方案。

资产管理模块:实现对API资产的统一管理。API资产管理基于数据建模自动发现被保护站点的API资产,对API资产进行梳理、分析和上下线,帮助客户实现API资产的生命周期管理。

攻击防护模块:综合利用智能规则匹配及行为分析的智能威胁检测引擎,持续监控并分析流量行为,有效检测威胁攻击。智能威胁检测引擎在用户与应用程序交互的过程中收集数据,并利用统计模型来确定HTTP请求的异常。一旦确定异常情况,智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。

敏感数据管控模块:对API传输中的敏感数据进行识别,针对敏感数据可以进行脱敏处理或者实时拦截,防止敏感数据泄露。

访问行为管控模块:对API接口的访问行为进行分析,通过多维度建立API访问基线、API威胁建模,发现异常访问行为,避免恶意访问和接口滥用造成的业务损失。

应用场景:

API资产自动发现

API安全管控平台通过对访问流量进行分析,自动发现流量中的API接口,实现API接口自动识别、梳理和分组。

API资产生命周期管理

对发现的API接口进行生命周期管理,基于关键字搜索功能快速分组,并且对分组后的API资产指定责任人,实现API资产的导入和导出、资产上下线。

API攻击防护

识别各种针对API的安全攻击,对安全攻击进行实时防护;对API请求参数进行合规管控,对不符合规范的请求参数实时管控。

API敏感数据管控

对API传输中的敏感数据进行识别,针对敏感数据可以进行模糊化或者实时拦截,防止敏感数据泄露。

API流量监控与保护

监控API的访问行为,针对高频情况等进行防护,防止高频情况等造成的API性能瓶颈。

未知API发现

通过从API网关上获取API注册数据,与API资产进行对比,发现未知API接口,防止未知API访问造成的业务访问压力,导致业务不可用。

非法API调用防护

通过从API网关上获取API认证和鉴权数据,防止未授权的API调用,保障API接口只能被合法用户访问。

API滥用防护

针对API接口,防止其被滥用并用于谋取利益。

API访问行为管控

监控API接口的访问和使用状况,包括成功率、性能等,通过建立多维度访问基线和API威胁建模,监控基线偏离状况,高效识别异常访问行为,避免恶意访问造成的业务损失。

产品优势:

瑞数API安全管控平台(API BotDefender),实现全程式API安全威胁防护,其安全防护从API接入客户端覆盖到API服务器端。

1. API全自动发现

通过全流量数据接入和分析可以快速自动地发现业务潜在的未知API接口,并针对发现的API接口给出准确的综合评分,减少API接口防护的盲点。同时,通过清晰的API列表辅助运维部门实时感知每个API接口的访问情况,并进行管控。

2. 构建API画像

采用全程式安全威胁防护技术可精准构建API画像。通过API画像快速预览各个业务的API情况,包括使用情况、异常情况、访问来源、非法API调用、API数据泄露和API接口滥用等。

3. API全渠道感知

瑞数信息API安全管控平台部署在API应用服务器与负载均衡设备之间,也可以旁路镜像部署,无需对现有业务进行任何改造,系统部署简单。同时提供各种SDK,方便与各类API来源应用进行集成,可以对来源环境和用户行为进行感知。

4. 动态响应防护

瑞数信息API安全管控平台可以根据访问行为分析的结果或指定条件,进行动态响应防护,防护手段包括:直接拦截、限频、延时响应、软拦截、限时黑名单以及与第三方系统联动等多种方式。另外还可以基于信誉库的积累实现多维度的信誉防护,包括IP信誉库、设备指纹信誉库和账号信誉库等,提升黑产通过逆向探测或机器学习分析等攻击手段的难度。

用户反馈

与传统的鉴权API网关相比,瑞数API安全管控平台具有API全生命周期的发现和管控措施,能够很好地配合我行进行API业务威胁透视分析和防护,实现多部门和多平台的关联分析,弥补我行在API业务安全防护过程中跨部门之间沟通和信息共享不对称性等问题。

——某金融行业客户

瑞数信息一直以来为我司提供专业高效的安全服务,在日常工作中提供全方位的支持,在网络安全攻防演习中积极配合,快速响应并及时处理各类突发状况,保障了攻防演习的顺利完成。

——某能源行业客户

瑞数API安全管控平台能够帮助我司有效检测威胁攻击,防止敏感数据泄漏,已成为我行应对各种API攻击必不可少的防护手段,在攻防演练和业务合规实践中发挥作用非常突出。

——某运营商行业客户

保障工作期间,瑞数信息在我中心承担了网络安全监测、自动化攻击阻拦等工作,为我院圆满完成各项工作提供了强有力的技术保障,效果显著。

——某医疗行业用户

安全牛评

API可以调用存储、计算和数据库的敏感资源,而数字化和云化转型会导致企业API的大量开放,给企业敏感数据安全带来极大的风险隐患。瑞数API安全管控平台组合了API管控技术与数据防护手段,并从API视角在数据安全治理、防护、监管多个维度增强了数据可视化,API的细粒度管控将成为企业数据安全风险管控的重要抓手。

关键词:


相关文章