• 走进API,了解数字化转型时代应用新宠


    图片

    现今,国家正全面推进各行业数字化转型进程,“十四五”规划和2035年远景目标纲要明确提出“加快数字化发展”“建设数字中国”要求。近年来,随着数字化时代的来临,加之疫情的催生,已有越来越多的企业投入到数字化转型的进程中来。

    据《2021年API经济状况》及GoogleCloud的研究报告统计,近两年,数字化转型已成为企业的第一要务,加之2020年新冠疫情对企业带来的连锁效应,近3/4的企业持续投入数字化转型。

    在转型过程中,众多企业将业务重心逐步转向云环境,为了更好的利用可重复利用的模块化软件,通过API打破数据孤岛,以此作为连接服务和传输数据的重要通道。根据谷歌发布的2021年API经济调查报告中,其生态体系下2020年API调用次数已达2.21万亿次。

    API是什么?

    API是应用编程接口的缩写,开发者通过定义一组函数、协议、数据结构,明确应用程序中各个组件之间通信与数据交互方式。

    API分类

    图片

    根据传输协议的不同,现在常见的包括REST、SOAP协议,REST是构建通过网络通信的应用程序的首选标准,主要是因为SOAP仅代表简单对象访问协议,而REST代表具象状态传输,简单来讲SOAP只适用于XML格式,而REST适用于纯文本、XML、HTML和JSON。

    API接口已成为
    数据安全风险的主要途径之一

    随着企业“互联网化、数字化”进程的不断深入,越来越多的业务被迁移到互联网上,大量的业务交互和对外服务需求,导致企业大量使用API。据统计,近年来,随着企业业务系统的微服务化,API的数量成指数级的增长,在带来巨大便利的同时,随着数量快速增长,使用更频繁,也导致攻击面不断扩大。

    与之而来的各类攻击事件层出不穷,国内外已发生多起由于API被恶意攻击或安全管理疏漏导致的数据泄露事件,同时众多业务系统被爆存在API漏洞。如2021年6月淘宝因API接口问题造成12亿条用户数据遭泄露、2020年新浪微博因终端API被非法调用造成5亿多用户数据泄露、2021年领英泄露7亿用户数据、Experian公司泄露大量用户信用评分数据、Tokopedia9100万用户信息泄漏、Peloton曝API安全漏洞等,以上摘录了近两年来国内外因为API接口造成的数据泄露以及披露的安全漏洞,当然,除了以上事件外,根据Cloudentity就API安全相关问题的调查研究表明,近半数受访企业(44%)表示,曾经经历过涉数据泄露和隐私信息暴露的重大API安全问题。通过这些大量的数据显示,API接口安全一旦出现问题,可能导致的不是一两个、几百、几千个人信息的泄露,而是涉及百万、千万、甚至亿级个人信息的数量。

    图片


    引自《OWASPAPI Security TOP 10》报告

    同时,《OWASPAPI Security TOP10》统计了当前API接口面临的包括失效的对象级别授权、失效的用户身份认证、过渡的数据暴露、资源缺乏和速率限制、失效的功能及授权、资源缺乏和速率限制、失效的功能及授权、批量分配、安全配置错误、注入、资产管理不当等诸多安全风险。

    国内外API安全技术应用情况

    国外市场上已经出现了一些API安全防护的产品,以下举例说明当前防御方向:SaltSecurity提供API保护平台,可防止API攻击,使用机器学习和AI自动、持续地识别和保护API;红帽提供的3scaleAPI管理,能够持续的对API进行管理和防护,它不仅可以管理API、应用和开发者角色的API管理器,也可以执行API管理器策略和流量管理,并支持多身份认证协议的身份提供商中心;Amazon提供的API网关可以解析到期的时间戳令牌,检查客户端身份是否有效,以及使用公钥来确认签名等。

    国内市场伴随网络安全法律法规体系不断完善优化,网络安全标准体系进一步完善,近年来,我国也陆续出台多部数据接口有关标准,对数据接口在不同领域的应用、部署、管理、防护等进行了规范。金融行业发布首个API团体标准《商业银行应用程序接口安全管理检测规范》;通信行业针对特定API类型、API应用场景等制定了一系列标准,细化了API相关安全要求与规范:YD/T2807.4-2015《云资源管理技术要求第 4部分:接口》对涉及的接口类型进行了梳理,规定了云资源管理平台及分平台间接口的技术要求;YD/T3217-2017《基于表述性状态转移(REST)技术的业务能力开放应用程序接口(API)视频共享》针对基于REST技术的视频共享能力开放API进行了规范,涵盖了接口资源定义、资源操作、数据结构、基本流程和安全要求等多方面内容。

    伴随着多部API相关标准陆续的发布,国内市场推出多种API安全防护产品应对,主要包括以下三种模式:

    API安全网关型

    API安全网关产品可根据动态授权机制为API提供细粒度的应用安全防护,可串联部署至应用系统前、后之间,也可与“零信任”体系安全联动。产品具备流量控制、限流控制、熔断机制、请求过滤、服务路由、反向代理、安全通道、负载均衡等基础能力,同时也具备API全生命周期管理及各类攻击防护、敏感数据检测防御等能力。

    API安全监测型

    API安全流量监测平台主要提供资产识别管理、智能分析能力、已知威胁和未知威胁的实时监测能力,通过流量旁路镜像的方式采集不同基础设施API通信数据;同时针对不同的API通信协议进行数据清洗、协议解析;并以大数据分析平台为安全大脑核心,结合威胁情报、漏洞扫描、攻击特征、UEBA、机器学习、隐私识别、可视化等技术对全域API流量实现业务可视和威胁感知,从而实现全面发现各种潜伏威胁。该类产品以旁路部署,不具备阻断、处置等能力。

    API安全综合型

    综合型API安全产品包括API智能网关和API安全管控平台两部分,其中API智能网关应具备流量控制、限流控制、熔断机制、请求过滤、服务路由、阻断等基础功能。API安全管控平台应具备基于场景的持续复杂分析预警,同时将分析结果联动至智能网关做处置。通过网关串联,流量旁路镜像至API安全管控平台做持续复杂分析,二者联动实现持续自适应的动态智能决策。

  • 相关阅读:
    no Go files in ...问题
    STM32 TIM(一)定时中断
    115 不同的子序列
    计算机网络 —— 运输层(TCP三次握手)
    深入详解高性能消息队列中间件 RabbitMQ
    PostgreSQL 常用管理命令
    拼多多电商API接口详情
    机器学习——boosting之XGBoost(未完)
    shiro学习之HashedCredentialsMatcher密码匹配过程
    微信小程序生命周期与内置api
  • 原文地址:https://blog.csdn.net/API_mylove/article/details/133745449