别让API安全成为数字化转型的绊脚石
API安全问题已成为数字话化进程中的主要矛盾
数字化转型的核心是将组织的服务、资产和能力打包成互联网服务,从而让资源之间形成更强的连接和互动关系,释放原有资产的价值,提升组织的服务能力,这其中,API是非常关键的技术。
随着数字化进程的发展,API作为连接数据和应用的重要通道,越来越多地在架构开放的创新场景中使用。有数据统计,整个Web网站有83%的流量是通过API来访问的。也有数据显示,44%企业正在建造和维护100个或更多的API,API流量正在快速增长。近年来,由于API漏洞引发的安全事件,影响面积大,造成了广泛的影响,这些事件使API安全相关的问题得到越来越多的关注。
API面临着包括凭据失陷、越权访问、数据篡改、违规爬取、数据泄露等在内的诸多安全风险,从API的安全访问流程上进行评估,应实施的防护措施应包含有效的身份认证、可控的访问授权、针对特定数据返回结果的筛选、访问异常行为检测及响应等。而在大多数业务场景下,API在对外提供服务时并没有部署良好的防护机制,究其原因,一方面是由于业务的快速迭代,安全负责人无法完整掌握API的使用情况、业务与安全存在割裂,另一方面是对现有API进行安全改造的成本巨大。未来,API在数字化转型中的扮演的角色将愈发重要,政企亟需有效的解决方案对开放共享的数据核心资产提供保护。
安恒信息倾力打造构建统一的API安全防线
安恒信息针对API安全防护场景,借鉴零信任思想,推出了以API安全管控系统为核心的API安全防护解决方案,在不改造现网API的情况下为API提供安全防护能力。利用可信身份鉴别、权限管控、接口访问监控、接口数据脱敏、流量管控、国密算法等核心技术,通过为访问API的用户、应用系统构建统一的可信数字身份,保护API不受未认证、未授权访问及中间人攻击,并实现对API违规访问行为的检测预警,最大程度降低潜在的共享数据泄露风险。
给政企用户带来的安全收益
收窄API暴露面
API安全管控系统采用“先认证鉴权、再访问请求”的管控逻辑,默认拒绝所有未认证和鉴权的请求,最大程度上收窄API服务的暴露面,减少潜在的高级攻击、0 day漏洞等威胁对API造成的威胁。
形成统一可信身份安全体系
API安全管控系统提供灵活的身份适配器,向上兼容现网认证、权限等系统,向下为应用系统、API访问提供轻量级的集成方法,API服务开发者无需关注接口认证和访问权限等逻辑,加速业务迭代的同时实现应用接入标准统一。
访问审计及敏感信息管控
API安全管控系统通过对所有受控的访问请求进行审计,对潜在的敏感信息进行挖掘,帮助用户掌握现网API的数量、使用情况等。针对涉及敏感信息的重要API,可根据字段、应用、用户等级制定灵活的脱敏策略,降低敏感数据泄漏风险,并为用户提供有效的访问溯源机制。
构建统一的全加密通道
API安全管控系统支持为所有代理API访问提供基于国密算法的业务流量加密,并可定制灵活的访问控制手段、熔断保护机制及流量管控措施,无论API服务本身是否支持安全的传输机制,均可以实现代理后API请求的安全传输,基于TLS协议机制,支持开启单向TLS、双向TLS、国密TLS功能,有效抵御通信通道上可能会存在的窃取、劫持、篡改等风险,保障通道安全。
应用场景
安恒信息API安全解决方案可以应用在政府、公安、金融、企业、医疗等诸多行业的大数据共享开放、企业内部数据开放流转、跨网数据共享交换等场景,从安全角度助推广大客户的数字化转型进程。
更多安全能力赋能政企用户数字化转型
安恒信息自2019年开始引入零信任安全理念,融入和创新打造新一代基于可信身份AiTrust产品解决方案。我们秉持打造可持续发展的安全规划和产品设计,主要解决可信身份、动态信任评估、边界安全接入、内部人员行为异常预警、数据资产安全保障等等诸多国家及行业监管关注的信息安全问题。AiTrust产品解决方案不断落地广泛行业头部企业,并在2021年入围安全牛零信任产品全景图,被IDC正式收录至《CIO视角-中国零信任市场研究》报告,评选为零信任优秀行业推荐解决方案。
往期精选
围观
热文
热文