近日,咨询机构Gartner发布了Market Guide for API Management, China(《中国API管理市场指南》,2023年8月),绿盟科技被列为代表供应商。
随着互联网应用的不断多元化和复杂化,应用服务化已经成为一个显著的趋势。在越来越多的场景中,API被广泛应用于应用架构中,用于应用间的数据传输和控制。同时,随着传输数据量和敏感性的增加,API面临着越来越频繁和多样化的攻击。因此,API安全已经成为众多企业高度关注的问题。为了保护数据安全,《信息安全技术个人信息安全规范》《数据安全法》和《个人信息保护法》相继出台。在各种法律法规、国标行标中,都能看到API作为数据接口,在数据的传输、使用、共享阶段所起到的作用和需要解决的安全问题。
与此同时,随着API的使用越来越多,也有越来越多的攻击专门针对API而来。2023年6月,本田动力设备的电商平台存在API漏洞,攻击者可为任何账户重置密码。2022年7月,Twitter的一个API漏洞,导致数百万用户数据被泄露。CVE官网上,与API相关漏洞已达3000多个,逐渐形成了以API为媒介的软件供应链安全风险。各行各业由于自身业务的特点和技术的应用,也面临着不同的API安全威胁。
绿盟科技API安全解决方案
绿盟科技API安全解决方案,以API生命周期为脉络,通过不同技术手段解决API设计、开发、测试、上线发布、运营监控、下线中面临的安全风险。以数据安全生命周期为导向,在数据传输、数据开发测试、数据共享交换阶段,从API视角解决数据安全的监测、管控、处置问题。以应用架构为基础,覆盖数据中心机房、公有云、私有云、云原生等不同的API架构风险。按照不同类型的API所面临的安全风险,应用不同的防护手段,贴近客户场景,保障业务连续性,提供安全价值。
绿盟科技全生命周期API安全治理体系
API安全能力介绍
API安全审计能力
绿盟科技推出API安全检测与响应方案(简称ADR方案),应对API安全监测与审计溯源场景。ADR方案通过API安全运营平台+流量探针基础,实现API安全运营工作。
ADR可发现针对API的攻击特征、异常行为、敏感数据泄露和API自身脆弱性,并结合API探针整合各省份数据,汇总API资产数据及事件信息,自动化风险研判,将识别到的资产变更及风险事件与指挥调度平台的工单系统联动。同时ADR方案是为数据安全大方案量身定做的子方案,配合数据分级分类、访问控制、脱敏水印、数据流转等能力建设一体化数据安全体系。
云原生API安全能力
绿盟科技凭借对云原生技术的探索和多年积累,提出云原生API安全解决方案。不仅支持daemonset、deployment等多种部署模式,还能适配Kubernetes、Openshift和Service Mesh等多种云原生管理框架。通过统一的云原生API安全管控平台,对于所有的云原生API安全探针进行管理、安全数据分析。通过云原生API安全探针,不仅能捕获pod级别的API流量,不放过任何一次东西向流量会话;还能跟踪绘制API调用访问序列,形成云原生内部的业务链路可视化。
API安全防护能力
绿盟科技API安全运行时防护系统,内置丰富的API防护规则,针对十数种不同类型的Web攻击特征进行防护,且通过个性化的模板进行封装,一键应用,快速生效,可有效防护对API的注入攻击、开源框架漏洞攻击、远程命令执行攻击等。同时通过自动化工具识别技术,避免黑灰产对API的滥用,逻辑漏洞利用或者批量爆破登录接口等操作。基于准确的检测引擎,可快速阻止针对API的攻击行为和调用。避免攻击者对于API的利用。
API访问控制能力
绿盟科技API安全网关可以按需对API进行访问控制,提供细粒度、自定义、贴合业务流程的API访问与数据传输控制点。通过丰富的授权模型,可以保证在不同场景下根据限定API访问权限,还能按需对API传输数据进行脱敏。也能通过API审计能力,记录账号对于API、数据的访问详细信息,发现不合规的数据调用、脱敏不充分、敏感数据泄露等场景。
API资产识别与管理能力
绿盟科技API安全解决方案,可结合已形成的数据分级分类规范,对流动中的数据进行监控和审计,发现敏感数据的不合规传输与泄露。同时,配合医院网络建设,在内、外网分别架设两套API安全审计系统,分别针对DMZ区的API流量和内网出口区的API流量进行监控,形成API资产列表。
通过部署API安全解决方案,能够快速梳理出API资产、业务系统列表、账号资产,并将三者进行关联,形成明确的资产信息。同时,通过与分级分类规则的联动,能够同时覆盖静态数据与动态数据的分级分类,观测敏感数据的流动性,避免关键数据的泄露。配合研判和溯源模块,能够快速发现安全事件、追溯泄露源头。
绿盟科技深耕API安全多年,配合多年的攻防实战经验,形成一套覆盖全生命周期,包含检测、防护、分析、响应的API安全解决方案。覆盖API资产管理、攻击检测、异常行为分析、滥用识别、脆弱性发现、访问控制等能力,同时也在不断探索API安全的外延场景与创新的技术方案。我们认识到API经济为业务带来价值的同时,也存在着各种各样的安全风险。由于API不可见的特性,很容易成为安全体系建设中的“灰犀牛”。绿盟科技API安全解决方案致力于贴合行业场景,为大家切实解决API所引入的安全问题。
参考文献
[1]Market Guide for API Management, China
说明:Gartner未在其报告中支持任何厂商、产品或服务,也并不建议科技客户只选择最高评分或其它指定的厂商。Gartner报告含有其研究组织的意见,但该研究意见不应被视作事实陈述。针对此报告,Gartner不承担相关明示或暗示的保证,包括任何适销性或适用于特定目的的保证。Gartner是Gartner有限公司和/或其附属公司在美国及全球的注册商标和服务商标,经许可在此使用,保留所有权利。GARTNER 是 Gartner, Inc. 和/或其关联公司在美国和国际上的商标和服务标识,并在获得许可的情况下在此使用。保留所有权利。