近日,咨詢(xún)機構Gartner發(fā)布了Market Guide for API Management, China(《中國API管理市場(chǎng)指南》,2023年8月),綠盟科技被列為代表供應商���。
隨著(zhù)互聯(lián)網(wǎng)應用的不斷多元化和復雜化,應用服務(wù)化已經(jīng)成為一個(gè)顯著(zhù)的趨勢�����。在越來(lái)越多的場(chǎng)景中,API被廣泛應用于應用架構中,用于應用間的數據傳輸和控制��。同時(shí),隨著(zhù)傳輸數據量和敏感性的增加,API面臨著(zhù)越來(lái)越頻繁和多樣化的攻擊�。因此,API安全已經(jīng)成為眾多企業(yè)高度關(guān)注的問(wèn)題����。為了保護數據安全,《信息安全技術(shù)個(gè)人信息安全規范》《數據安全法》和《個(gè)人信息保護法》相繼出臺��。在各種法律法規����、國標行標中,都能看到API作為數據接口,在數據的傳輸�����、使用�����、共享階段所起到的作用和需要解決的安全問(wèn)題�����。
與此同時(shí),隨著(zhù)API的使用越來(lái)越多,也有越來(lái)越多的攻擊專(zhuān)門(mén)針對API而來(lái)����。2023年6月,本田動(dòng)力設備的電商平臺存在A(yíng)PI漏洞,攻擊者可為任何賬戶(hù)重置密碼�。2022年7月,Twitter的一個(gè)API漏洞,導致數百萬(wàn)用戶(hù)數據被泄露����。CVE官網(wǎng)上,與API相關(guān)漏洞已達3000多個(gè),逐漸形成了以API為媒介的軟件供應鏈安全風(fēng)險��。各行各業(yè)由于自身業(yè)務(wù)的特點(diǎn)和技術(shù)的應用,也面臨著(zhù)不同的API安全威脅�����。
綠盟科技API安全解決方案
綠盟科技API安全解決方案,以API生命周期為脈絡(luò ),通過(guò)不同技術(shù)手段解決API設計����、開(kāi)發(fā)���、測試�����、上線(xiàn)發(fā)布��、運營(yíng)監控�、下線(xiàn)中面臨的安全風(fēng)險�����。以數據安全生命周期為導向,在數據傳輸����、數據開(kāi)發(fā)測試���、數據共享交換階段,從API視角解決數據安全的監測����、管控�、處置問(wèn)題��。以應用架構為基礎,覆蓋數據中心機房�、公有云�����、私有云����、云原生等不同的API架構風(fēng)險�。按照不同類(lèi)型的API所面臨的安全風(fēng)險,應用不同的防護手段,貼近客戶(hù)場(chǎng)景,保障業(yè)務(wù)連續性,提供安全價(jià)值���。
綠盟科技全生命周期A(yíng)PI安全治理體系
API安全能力介紹
API安全審計能力
綠盟科技推出API安全檢測與響應方案(簡(jiǎn)稱(chēng)ADR方案),應對API安全監測與審計溯源場(chǎng)景�����。ADR方案通過(guò)API安全運營(yíng)平臺+流量探針基礎,實(shí)現API安全運營(yíng)工作����。
ADR可發(fā)現針對API的攻擊特征�、異常行為�、敏感數據泄露和API自身脆弱性,并結合API探針整合各省份數據,匯總API資產(chǎn)數據及事件信息,自動(dòng)化風(fēng)險研判,將識別到的資產(chǎn)變更及風(fēng)險事件與指揮調度平臺的工單系統聯(lián)動(dòng)�。同時(shí)ADR方案是為數據安全大方案量身定做的子方案,配合數據分級分類(lèi)��、訪(fǎng)問(wèn)控制����、脫敏水印����、數據流轉等能力建設一體化數據安全體系�����。
云原生API安全能力
綠盟科技憑借對云原生技術(shù)的探索和多年積累,提出云原生API安全解決方案����。不僅支持daemonset����、deployment等多種部署模式,還能適配Kubernetes��、Openshift和Service Mesh等多種云原生管理框架����。通過(guò)統一的云原生API安全管控平臺,對于所有的云原生API安全探針進(jìn)行管理�、安全數據分析���。通過(guò)云原生API安全探針,不僅能捕獲pod級別的API流量,不放過(guò)任何一次東西向流量會(huì )話(huà);還能跟蹤繪制API調用訪(fǎng)問(wèn)序列,形成云原生內部的業(yè)務(wù)鏈路可視化�����。
API安全防護能力
綠盟科技API安全運行時(shí)防護系統,內置豐富的API防護規則,針對十數種不同類(lèi)型的Web攻擊特征進(jìn)行防護,且通過(guò)個(gè)性化的模板進(jìn)行封裝,一鍵應用,快速生效,可有效防護對API的注入攻擊��、開(kāi)源框架漏洞攻擊�����、遠程命令執行攻擊等����。同時(shí)通過(guò)自動(dòng)化工具識別技術(shù),避免黑灰產(chǎn)對API的濫用,邏輯漏洞利用或者批量爆破登錄接口等操作����?���;跍蚀_的檢測引擎,可快速阻止針對API的攻擊行為和調用��。避免攻擊者對于A(yíng)PI的利用���。
API訪(fǎng)問(wèn)控制能力
綠盟科技API安全網(wǎng)關(guān)可以按需對API進(jìn)行訪(fǎng)問(wèn)控制,提供細粒度�、自定義��、貼合業(yè)務(wù)流程的API訪(fǎng)問(wèn)與數據傳輸控制點(diǎn)����。通過(guò)豐富的授權模型,可以保證在不同場(chǎng)景下根據限定API訪(fǎng)問(wèn)權限,還能按需對API傳輸數據進(jìn)行脫敏����。也能通過(guò)API審計能力,記錄賬號對于A(yíng)PI�、數據的訪(fǎng)問(wèn)詳細信息,發(fā)現不合規的數據調用�、脫敏不充分��、敏感數據泄露等場(chǎng)景����。
API資產(chǎn)識別與管理能力
綠盟科技API安全解決方案,可結合已形成的數據分級分類(lèi)規范,對流動(dòng)中的數據進(jìn)行監控和審計,發(fā)現敏感數據的不合規傳輸與泄露��。同時(shí),配合醫院網(wǎng)絡(luò )建設,在內���、外網(wǎng)分別架設兩套API安全審計系統,分別針對DMZ區的API流量和內網(wǎng)出口區的API流量進(jìn)行監控,形成API資產(chǎn)列表���。
通過(guò)部署API安全解決方案,能夠快速梳理出API資產(chǎn)����、業(yè)務(wù)系統列表���、賬號資產(chǎn),并將三者進(jìn)行關(guān)聯(lián),形成明確的資產(chǎn)信息���。同時(shí),通過(guò)與分級分類(lèi)規則的聯(lián)動(dòng),能夠同時(shí)覆蓋靜態(tài)數據與動(dòng)態(tài)數據的分級分類(lèi),觀(guān)測敏感數據的流動(dòng)性,避免關(guān)鍵數據的泄露���。配合研判和溯源模塊,能夠快速發(fā)現安全事件���、追溯泄露源頭�����。
綠盟科技深耕API安全多年,配合多年的攻防實(shí)戰經(jīng)驗,形成一套覆蓋全生命周期,包含檢測��、防護��、分析�����、響應的API安全解決方案���。覆蓋API資產(chǎn)管理����、攻擊檢測��、異常行為分析�����、濫用識別��、脆弱性發(fā)現���、訪(fǎng)問(wèn)控制等能力,同時(shí)也在不斷探索API安全的外延場(chǎng)景與創(chuàng )新的技術(shù)方案�����。我們認識到API經(jīng)濟為業(yè)務(wù)帶來(lái)價(jià)值的同時(shí),也存在著(zhù)各種各樣的安全風(fēng)險����。由于A(yíng)PI不可見(jiàn)的特性,很容易成為安全體系建設中的“灰犀?�!?。綠盟科技API安全解決方案致力于貼合行業(yè)場(chǎng)景,為大家切實(shí)解決API所引入的安全問(wèn)題�����。
參考文獻
[1]Market Guide for API Management, China
說(shuō)明:Gartner未在其報告中支持任何廠(chǎng)商�����、產(chǎn)品或服務(wù),也并不建議科技客戶(hù)只選擇最高評分或其它指定的廠(chǎng)商�����。Gartner報告含有其研究組織的意見(jiàn),但該研究意見(jiàn)不應被視作事實(shí)陳述����。針對此報告,Gartner不承擔相關(guān)明示或暗示的保證,包括任何適銷(xiāo)性或適用于特定目的的保證�����。Gartner是Gartner有限公司和/或其附屬公司在美國及全球的注冊商標和服務(wù)商標,經(jīng)許可在此使用,保留所有權利��。GARTNER 是 Gartner, Inc. 和/或其關(guān)聯(lián)公司在美國和國際上的商標和服務(wù)標識,并在獲得許可的情況下在此使用���。保留所有權利���。
中企網(wǎng)微博
中企網(wǎng)微信