近日,咨詢機(jī)構(gòu)Gartner發(fā)布了Market Guide for API Management, China(《中國(guó)API管理市場(chǎng)指南》,2023年8月),綠盟科技被列為代表供應(yīng)商����。
隨著互聯(lián)網(wǎng)應(yīng)用的不斷多元化和復(fù)雜化,應(yīng)用服務(wù)化已經(jīng)成為一個(gè)顯著的趨勢(shì)。在越來(lái)越多的場(chǎng)景中,API被廣泛應(yīng)用于應(yīng)用架構(gòu)中,用于應(yīng)用間的數(shù)據(jù)傳輸和控制����。同時(shí),隨著傳輸數(shù)據(jù)量和敏感性的增加,API面臨著越來(lái)越頻繁和多樣化的攻擊�。因此,API安全已經(jīng)成為眾多企業(yè)高度關(guān)注的問(wèn)題��。為了保護(hù)數(shù)據(jù)安全,《信息安全技術(shù)個(gè)人信息安全規(guī)范》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》相繼出臺(tái)�����。在各種法律法規(guī)���、國(guó)標(biāo)行標(biāo)中,都能看到API作為數(shù)據(jù)接口,在數(shù)據(jù)的傳輸�����、使用���、共享階段所起到的作用和需要解決的安全問(wèn)題。
與此同時(shí),隨著API的使用越來(lái)越多,也有越來(lái)越多的攻擊專門針對(duì)API而來(lái)�����。2023年6月,本田動(dòng)力設(shè)備的電商平臺(tái)存在API漏洞,攻擊者可為任何賬戶重置密碼����。2022年7月,Twitter的一個(gè)API漏洞,導(dǎo)致數(shù)百萬(wàn)用戶數(shù)據(jù)被泄露。CVE官網(wǎng)上,與API相關(guān)漏洞已達(dá)3000多個(gè),逐漸形成了以API為媒介的軟件供應(yīng)鏈安全風(fēng)險(xiǎn)��。各行各業(yè)由于自身業(yè)務(wù)的特點(diǎn)和技術(shù)的應(yīng)用,也面臨著不同的API安全威脅����。
綠盟科技API安全解決方案
綠盟科技API安全解決方案,以API生命周期為脈絡(luò),通過(guò)不同技術(shù)手段解決API設(shè)計(jì)、開(kāi)發(fā)����、測(cè)試、上線發(fā)布��、運(yùn)營(yíng)監(jiān)控��、下線中面臨的安全風(fēng)險(xiǎn)���。以數(shù)據(jù)安全生命周期為導(dǎo)向,在數(shù)據(jù)傳輸�、數(shù)據(jù)開(kāi)發(fā)測(cè)試�����、數(shù)據(jù)共享交換階段,從API視角解決數(shù)據(jù)安全的監(jiān)測(cè)��、管控��、處置問(wèn)題。以應(yīng)用架構(gòu)為基礎(chǔ),覆蓋數(shù)據(jù)中心機(jī)房����、公有云、私有云���、云原生等不同的API架構(gòu)風(fēng)險(xiǎn)�。按照不同類型的API所面臨的安全風(fēng)險(xiǎn),應(yīng)用不同的防護(hù)手段,貼近客戶場(chǎng)景,保障業(yè)務(wù)連續(xù)性,提供安全價(jià)值��。
綠盟科技全生命周期API安全治理體系
API安全能力介紹
API安全審計(jì)能力
綠盟科技推出API安全檢測(cè)與響應(yīng)方案(簡(jiǎn)稱ADR方案),應(yīng)對(duì)API安全監(jiān)測(cè)與審計(jì)溯源場(chǎng)景��。ADR方案通過(guò)API安全運(yùn)營(yíng)平臺(tái)+流量探針基礎(chǔ),實(shí)現(xiàn)API安全運(yùn)營(yíng)工作�����。
ADR可發(fā)現(xiàn)針對(duì)API的攻擊特征�、異常行為、敏感數(shù)據(jù)泄露和API自身脆弱性,并結(jié)合API探針整合各省份數(shù)據(jù),匯總API資產(chǎn)數(shù)據(jù)及事件信息,自動(dòng)化風(fēng)險(xiǎn)研判,將識(shí)別到的資產(chǎn)變更及風(fēng)險(xiǎn)事件與指揮調(diào)度平臺(tái)的工單系統(tǒng)聯(lián)動(dòng)��。同時(shí)ADR方案是為數(shù)據(jù)安全大方案量身定做的子方案,配合數(shù)據(jù)分級(jí)分類�、訪問(wèn)控制、脫敏水印���、數(shù)據(jù)流轉(zhuǎn)等能力建設(shè)一體化數(shù)據(jù)安全體系����。
云原生API安全能力
綠盟科技憑借對(duì)云原生技術(shù)的探索和多年積累,提出云原生API安全解決方案����。不僅支持daemonset、deployment等多種部署模式,還能適配Kubernetes��、Openshift和Service Mesh等多種云原生管理框架����。通過(guò)統(tǒng)一的云原生API安全管控平臺(tái),對(duì)于所有的云原生API安全探針進(jìn)行管理、安全數(shù)據(jù)分析���。通過(guò)云原生API安全探針,不僅能捕獲pod級(jí)別的API流量,不放過(guò)任何一次東西向流量會(huì)話;還能跟蹤繪制API調(diào)用訪問(wèn)序列,形成云原生內(nèi)部的業(yè)務(wù)鏈路可視化���。
API安全防護(hù)能力
綠盟科技API安全運(yùn)行時(shí)防護(hù)系統(tǒng),內(nèi)置豐富的API防護(hù)規(guī)則,針對(duì)十?dāng)?shù)種不同類型的Web攻擊特征進(jìn)行防護(hù),且通過(guò)個(gè)性化的模板進(jìn)行封裝,一鍵應(yīng)用,快速生效,可有效防護(hù)對(duì)API的注入攻擊、開(kāi)源框架漏洞攻擊�����、遠(yuǎn)程命令執(zhí)行攻擊等�。同時(shí)通過(guò)自動(dòng)化工具識(shí)別技術(shù),避免黑灰產(chǎn)對(duì)API的濫用,邏輯漏洞利用或者批量爆破登錄接口等操作。基于準(zhǔn)確的檢測(cè)引擎,可快速阻止針對(duì)API的攻擊行為和調(diào)用�。避免攻擊者對(duì)于API的利用。
API訪問(wèn)控制能力
綠盟科技API安全網(wǎng)關(guān)可以按需對(duì)API進(jìn)行訪問(wèn)控制,提供細(xì)粒度�����、自定義�、貼合業(yè)務(wù)流程的API訪問(wèn)與數(shù)據(jù)傳輸控制點(diǎn)。通過(guò)豐富的授權(quán)模型,可以保證在不同場(chǎng)景下根據(jù)限定API訪問(wèn)權(quán)限,還能按需對(duì)API傳輸數(shù)據(jù)進(jìn)行脫敏�����。也能通過(guò)API審計(jì)能力,記錄賬號(hào)對(duì)于API�����、數(shù)據(jù)的訪問(wèn)詳細(xì)信息,發(fā)現(xiàn)不合規(guī)的數(shù)據(jù)調(diào)用����、脫敏不充分、敏感數(shù)據(jù)泄露等場(chǎng)景����。
API資產(chǎn)識(shí)別與管理能力
綠盟科技API安全解決方案,可結(jié)合已形成的數(shù)據(jù)分級(jí)分類規(guī)范,對(duì)流動(dòng)中的數(shù)據(jù)進(jìn)行監(jiān)控和審計(jì),發(fā)現(xiàn)敏感數(shù)據(jù)的不合規(guī)傳輸與泄露。同時(shí),配合醫(yī)院網(wǎng)絡(luò)建設(shè),在內(nèi)��、外網(wǎng)分別架設(shè)兩套API安全審計(jì)系統(tǒng),分別針對(duì)DMZ區(qū)的API流量和內(nèi)網(wǎng)出口區(qū)的API流量進(jìn)行監(jiān)控,形成API資產(chǎn)列表。
通過(guò)部署API安全解決方案,能夠快速梳理出API資產(chǎn)�、業(yè)務(wù)系統(tǒng)列表、賬號(hào)資產(chǎn),并將三者進(jìn)行關(guān)聯(lián),形成明確的資產(chǎn)信息���。同時(shí),通過(guò)與分級(jí)分類規(guī)則的聯(lián)動(dòng),能夠同時(shí)覆蓋靜態(tài)數(shù)據(jù)與動(dòng)態(tài)數(shù)據(jù)的分級(jí)分類,觀測(cè)敏感數(shù)據(jù)的流動(dòng)性,避免關(guān)鍵數(shù)據(jù)的泄露。配合研判和溯源模塊,能夠快速發(fā)現(xiàn)安全事件����、追溯泄露源頭。
綠盟科技深耕API安全多年,配合多年的攻防實(shí)戰(zhàn)經(jīng)驗(yàn),形成一套覆蓋全生命周期,包含檢測(cè)���、防護(hù)���、分析、響應(yīng)的API安全解決方案���。覆蓋API資產(chǎn)管理����、攻擊檢測(cè)���、異常行為分析�、濫用識(shí)別、脆弱性發(fā)現(xiàn)�、訪問(wèn)控制等能力,同時(shí)也在不斷探索API安全的外延場(chǎng)景與創(chuàng)新的技術(shù)方案。我們認(rèn)識(shí)到API經(jīng)濟(jì)為業(yè)務(wù)帶來(lái)價(jià)值的同時(shí),也存在著各種各樣的安全風(fēng)險(xiǎn)����。由于API不可見(jiàn)的特性,很容易成為安全體系建設(shè)中的“灰犀牛”�����。綠盟科技API安全解決方案致力于貼合行業(yè)場(chǎng)景,為大家切實(shí)解決API所引入的安全問(wèn)題�。
參考文獻(xiàn)
[1]Market Guide for API Management, China
說(shuō)明:Gartner未在其報(bào)告中支持任何廠商、產(chǎn)品或服務(wù),也并不建議科技客戶只選擇最高評(píng)分或其它指定的廠商�����。Gartner報(bào)告含有其研究組織的意見(jiàn),但該研究意見(jiàn)不應(yīng)被視作事實(shí)陳述�����。針對(duì)此報(bào)告,Gartner不承擔(dān)相關(guān)明示或暗示的保證,包括任何適銷性或適用于特定目的的保證����。Gartner是Gartner有限公司和/或其附屬公司在美國(guó)及全球的注冊(cè)商標(biāo)和服務(wù)商標(biāo),經(jīng)許可在此使用,保留所有權(quán)利。GARTNER 是 Gartner, Inc. 和/或其關(guān)聯(lián)公司在美國(guó)和國(guó)際上的商標(biāo)和服務(wù)標(biāo)識(shí),并在獲得許可的情況下在此使用�。保留所有權(quán)利��。
中企網(wǎng)微博
中企網(wǎng)微信