近日,咨詢機構Gartner發布了Market Guide for API Management, China(《中國API管理市場指南》,2023年8月),綠盟科技被列為代表供應商。
隨著互聯網應用的不斷多元化和復雜化,應用服務化已經成為一個顯著的趨勢。在越來越多的場景中,API被廣泛應用于應用架構中,用于應用間的數據傳輸和控制。同時,隨著傳輸數據量和敏感性的增加,API面臨著越來越頻繁和多樣化的攻擊。因此,API安全已經成為眾多企業高度關注的問題。為了保護數據安全,《信息安全技術個人信息安全規范》《數據安全法》和《個人信息保護法》相繼出臺。在各種法律法規、國標行標中,都能看到API作為數據接口,在數據的傳輸、使用、共享階段所起到的作用和需要解決的安全問題。
與此同時,隨著API的使用越來越多,也有越來越多的攻擊專門針對API而來。2023年6月,本田動力設備的電商平臺存在API漏洞,攻擊者可為任何賬戶重置密碼。2022年7月,Twitter的一個API漏洞,導致數百萬用戶數據被泄露。CVE官網上,與API相關漏洞已達3000多個,逐漸形成了以API為媒介的軟件供應鏈安全風險。各行各業由于自身業務的特點和技術的應用,也面臨著不同的API安全威脅。
綠盟科技API安全解決方案
綠盟科技API安全解決方案,以API生命周期為脈絡,通過不同技術手段解決API設計、開發、測試、上線發布、運營監控、下線中面臨的安全風險。以數據安全生命周期為導向,在數據傳輸、數據開發測試、數據共享交換階段,從API視角解決數據安全的監測、管控、處置問題。以應用架構為基礎,覆蓋數據中心機房、公有云、私有云、云原生等不同的API架構風險。按照不同類型的API所面臨的安全風險,應用不同的防護手段,貼近客戶場景,保障業務連續性,提供安全價值。
綠盟科技全生命周期API安全治理體系
API安全能力介紹
API安全審計能力
綠盟科技推出API安全檢測與響應方案(簡稱ADR方案),應對API安全監測與審計溯源場景。ADR方案通過API安全運營平臺+流量探針基礎,實現API安全運營工作。
ADR可發現針對API的攻擊特征、異常行為、敏感數據泄露和API自身脆弱性,并結合API探針整合各省份數據,匯總API資產數據及事件信息,自動化風險研判,將識別到的資產變更及風險事件與指揮調度平臺的工單系統聯動。同時ADR方案是為數據安全大方案量身定做的子方案,配合數據分級分類、訪問控制、脫敏水印、數據流轉等能力建設一體化數據安全體系。
云原生API安全能力
綠盟科技憑借對云原生技術的探索和多年積累,提出云原生API安全解決方案。不僅支持daemonset、deployment等多種部署模式,還能適配Kubernetes、Openshift和Service Mesh等多種云原生管理框架。通過統一的云原生API安全管控平臺,對于所有的云原生API安全探針進行管理、安全數據分析。通過云原生API安全探針,不僅能捕獲pod級別的API流量,不放過任何一次東西向流量會話;還能跟蹤繪制API調用訪問序列,形成云原生內部的業務鏈路可視化。
API安全防護能力
綠盟科技API安全運行時防護系統,內置豐富的API防護規則,針對十數種不同類型的Web攻擊特征進行防護,且通過個性化的模板進行封裝,一鍵應用,快速生效,可有效防護對API的注入攻擊、開源框架漏洞攻擊、遠程命令執行攻擊等。同時通過自動化工具識別技術,避免黑灰產對API的濫用,邏輯漏洞利用或者批量爆破登錄接口等操作。基于準確的檢測引擎,可快速阻止針對API的攻擊行為和調用。避免攻擊者對于API的利用。
API訪問控制能力
綠盟科技API安全網關可以按需對API進行訪問控制,提供細粒度、自定義、貼合業務流程的API訪問與數據傳輸控制點。通過豐富的授權模型,可以保證在不同場景下根據限定API訪問權限,還能按需對API傳輸數據進行脫敏。也能通過API審計能力,記錄賬號對于API、數據的訪問詳細信息,發現不合規的數據調用、脫敏不充分、敏感數據泄露等場景。
API資產識別與管理能力
綠盟科技API安全解決方案,可結合已形成的數據分級分類規范,對流動中的數據進行監控和審計,發現敏感數據的不合規傳輸與泄露。同時,配合醫院網絡建設,在內、外網分別架設兩套API安全審計系統,分別針對DMZ區的API流量和內網出口區的API流量進行監控,形成API資產列表。
通過部署API安全解決方案,能夠快速梳理出API資產、業務系統列表、賬號資產,并將三者進行關聯,形成明確的資產信息。同時,通過與分級分類規則的聯動,能夠同時覆蓋靜態數據與動態數據的分級分類,觀測敏感數據的流動性,避免關鍵數據的泄露。配合研判和溯源模塊,能夠快速發現安全事件、追溯泄露源頭。
綠盟科技深耕API安全多年,配合多年的攻防實戰經驗,形成一套覆蓋全生命周期,包含檢測、防護、分析、響應的API安全解決方案。覆蓋API資產管理、攻擊檢測、異常行為分析、濫用識別、脆弱性發現、訪問控制等能力,同時也在不斷探索API安全的外延場景與創新的技術方案。我們認識到API經濟為業務帶來價值的同時,也存在著各種各樣的安全風險。由于API不可見的特性,很容易成為安全體系建設中的“灰犀牛”。綠盟科技API安全解決方案致力于貼合行業場景,為大家切實解決API所引入的安全問題。
參考文獻
[1]Market Guide for API Management, China
說明:Gartner未在其報告中支持任何廠商、產品或服務,也并不建議科技客戶只選擇最高評分或其它指定的廠商。Gartner報告含有其研究組織的意見,但該研究意見不應被視作事實陳述。針對此報告,Gartner不承擔相關明示或暗示的保證,包括任何適銷性或適用于特定目的的保證。Gartner是Gartner有限公司和/或其附屬公司在美國及全球的注冊商標和服務商標,經許可在此使用,保留所有權利。GARTNER 是 Gartner, Inc. 和/或其關聯公司在美國和國際上的商標和服務標識,并在獲得許可的情況下在此使用。保留所有權利。
相關稿件