其他
如何通过零信任架构实现 API 安全?
有数据显示,大多数企业在面对API攻击时都没做好准备:
API攻击在过去681个月中增加了12%
95%的受访者在过去一年内均有经历过API安全事件
34%的受访者表示缺乏API安全策略
62%的受访者承认,由于API安全问题,推迟了新应用程序的上线
根据Google Cloud最近关于API安全的报告显示,API安全威胁主要来自:
API配置错误(40%)
过时的API、数据和组件(35%)
垃圾邮件、滥用、机器人(34%)
当攻击和违规行为变得越来越复杂,企业通过现有的安全和API管理工具,例如,Web应用程序防火墙(WAF)和 API网关,来防范安全事件还是不够的。
纵深防御(DiD)
边界防御(反恶意软件签名) 入侵检测/防御(IDS/IPS/EDR)
1、边界防御
IP允许和拒绝列表 WAF规则引擎 速率限制 故障注入/模糊
2、入侵检测
蜜罐 端点检测和响应(EDR) 威胁情报(文件和进程)
当API安全遇上零信任
零信任从本质上为攻击者设置障碍,使其无法在环境中横向移动。基于“持续验证,永不信任”的防护理念,零信任对所有终端、服务器、API、微服务、数据存储和内部服务进行严格统一的验证步骤,同时对来自内部或外部的访问请求,手机或PC,API调用或HTTP请求,普通员工或CEO,均采用“不信任”。
理想的零信任API安全
Docker容器 独立的反向代理 Web/应用程序服务器代理 嵌入Kubernetes入口控制器
敏感数据不会离开受保护的环境 无需与第三方共享证书和私钥 不依赖第三方正常运行时间来处理流量
代理注册/注销 政策更新 配置更新 软件更新 日志记录 数据同步
结语
API是当下应用程序的中枢神经系统,它可以将关键信息和数据在应用程序内部,或应用程序之间进行移动。因此,API安全应该被优先考虑。
如果您想了解更多产品信息
欢迎电话联系
热文
媒体报道丨美亚柏科成功入选全国200家创建世界一流专精特新示范企业之一
热文
伯乐推荐 | 美亚柏科全国招募高级销售人才热文
热文