走进API,了解数字化转型时代应用新宠

news2024/11/16 13:42:36

现今,国家正全面推进各行业数字化转型进程,“十四五”规划和2035年远景目标纲要明确提出“加快数字化发展”“建设数字中国”要求。近年来,随着数字化时代的来临,加之疫情的催生,已有越来越多的企业投入到数字化转型的进程中来。电商API接口获取商品详情数据。

据《2021年API经济状况》及GoogleCloud的研究报告统计,近两年,数字化转型已成为企业的第一要务,加之2020年新冠疫情对企业带来的连锁效应,近3/4的企业持续投入数字化转型。

在转型过程中,众多企业将业务重心逐步转向云环境,为了更好的利用可重复利用的模块化软件,通过API打破数据孤岛,以此作为连接服务和传输数据的重要通道。根据谷歌发布的2021年API经济调查报告中,其生态体系下2020年API调用次数已达2.21万亿次。

API是什么?

API是应用编程接口的缩写,开发者通过定义一组函数、协议、数据结构,明确应用程序中各个组件之间通信与数据交互方式。

API分类

图片

根据传输协议的不同,现在常见的包括REST、SOAP协议,REST是构建通过网络通信的应用程序的首选标准,主要是因为SOAP仅代表简单对象访问协议,而REST代表具象状态传输,简单来讲SOAP只适用于XML格式,而REST适用于纯文本、XML、HTML和JSON。

图片

API接口已成为
数据安全风险的主要途径之一

随着企业“互联网化、数字化”进程的不断深入,越来越多的业务被迁移到互联网上,大量的业务交互和对外服务需求,导致企业大量使用API。据统计,近年来,随着企业业务系统的微服务化,API的数量成指数级的增长,在带来巨大便利的同时,随着数量快速增长,使用更频繁,也导致攻击面不断扩大。

与之而来的各类攻击事件层出不穷,国内外已发生多起由于API被恶意攻击或安全管理疏漏导致的数据泄露事件,同时众多业务系统被爆存在API漏洞。如2021年6月淘宝因API接口问题造成12亿条用户数据遭泄露、2020年新浪微博因终端API被非法调用造成5亿多用户数据泄露、2021年领英泄露7亿用户数据、Experian公司泄露大量用户信用评分数据、Tokopedia9100万用户信息泄漏、Peloton曝API安全漏洞等,以上摘录了近两年来国内外因为API接口造成的数据泄露以及披露的安全漏洞,当然,除了以上事件外,根据Cloudentity就API安全相关问题的调查研究表明,近半数受访企业(44%)表示,曾经经历过涉数据泄露和隐私信息暴露的重大API安全问题。通过这些大量的数据显示,API接口安全一旦出现问题,可能导致的不是一两个、几百、几千个人信息的泄露,而是涉及百万、千万、甚至亿级个人信息的数量。

图片


引自《OWASPAPI Security TOP 10》报告

同时,《OWASPAPI Security TOP10》统计了当前API接口面临的包括失效的对象级别授权、失效的用户身份认证、过渡的数据暴露、资源缺乏和速率限制、失效的功能及授权、资源缺乏和速率限制、失效的功能及授权、批量分配、安全配置错误、注入、资产管理不当等诸多安全风险。

国内外API安全技术应用情况

国外市场上已经出现了一些API安全防护的产品,以下举例说明当前防御方向:SaltSecurity提供API保护平台,可防止API攻击,使用机器学习和AI自动、持续地识别和保护API;红帽提供的3scaleAPI管理,能够持续的对API进行管理和防护,它不仅可以管理API、应用和开发者角色的API管理器,也可以执行API管理器策略和流量管理,并支持多身份认证协议的身份提供商中心;Amazon提供的API网关可以解析到期的时间戳令牌,检查客户端身份是否有效,以及使用公钥来确认签名等。

国内市场伴随网络安全法律法规体系不断完善优化,网络安全标准体系进一步完善,近年来,我国也陆续出台多部数据接口有关标准,对数据接口在不同领域的应用、部署、管理、防护等进行了规范。金融行业发布首个API团体标准《商业银行应用程序接口安全管理检测规范》;通信行业针对特定API类型、API应用场景等制定了一系列标准,细化了API相关安全要求与规范:YD/T2807.4-2015《云资源管理技术要求第 4部分:接口》对涉及的接口类型进行了梳理,规定了云资源管理平台及分平台间接口的技术要求;YD/T3217-2017《基于表述性状态转移(REST)技术的业务能力开放应用程序接口(API)视频共享》针对基于REST技术的视频共享能力开放API进行了规范,涵盖了接口资源定义、资源操作、数据结构、基本流程和安全要求等多方面内容。

伴随着多部API相关标准陆续的发布,国内市场推出多种API安全防护产品应对,主要包括以下三种模式:

API安全网关型

API安全网关产品可根据动态授权机制为API提供细粒度的应用安全防护,可串联部署至应用系统前、后之间,也可与“零信任”体系安全联动。产品具备流量控制、限流控制、熔断机制、请求过滤、服务路由、反向代理、安全通道、负载均衡等基础能力,同时也具备API全生命周期管理及各类攻击防护、敏感数据检测防御等能力。

图片

API安全监测型

API安全流量监测平台主要提供资产识别管理、智能分析能力、已知威胁和未知威胁的实时监测能力,通过流量旁路镜像的方式采集不同基础设施API通信数据;同时针对不同的API通信协议进行数据清洗、协议解析;并以大数据分析平台为安全大脑核心,结合威胁情报、漏洞扫描、攻击特征、UEBA、机器学习、隐私识别、可视化等技术对全域API流量实现业务可视和威胁感知,从而实现全面发现各种潜伏威胁。该类产品以旁路部署,不具备阻断、处置等能力。

API安全综合型

综合型API安全产品包括API智能网关和API安全管控平台两部分,其中API智能网关应具备流量控制、限流控制、熔断机制、请求过滤、服务路由、阻断等基础功能。API安全管控平台应具备基于场景的持续复杂分析预警,同时将分析结果联动至智能网关做处置。通过网关串联,流量旁路镜像至API安全管控平台做持续复杂分析,二者联动实现持续自适应的动态智能决策。

在数字经济时代,API在应用服务中扮演着愈来愈重要的角色,为有效解决《OWASPAPI Security TOP10》提及的诸多API安全风险,观安特推出观御API智能安全网关产品及解决方案以解决企业用户在API安全方面的一系列问题。目前该方案已成熟应用于运营商、金融、政企等多个行业,产品更多详细内容将在下篇文章《面对不断增长的风险, 观御API智能网关守护数字资产安全》重点介绍,敬请期待!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1106726.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

写组件的过程中没写过的vue3写法

这是我写的组件, 父组件代码: 子组件代码: 首先遇到的问题是,我希望点击draw的确定按钮显示dialog弹框,发现不能在dialog弹框中去定义true和false,要在外部传进去,所以我注释了子组件中的const hideOrshowItem ref(false)代码, 然后子文件中用的所有的hideOrshowItem就都报错…

2023年四川省网络与信息安全技能大赛初赛 个人赛 Writeup

文章目录 WebPHPs Endingweb-game-1-1can_you_getshell Pwnbabyshell Reversepacked MiscedocneBaby_TCP Web PHP’s Ending 反序列化、eval截断、无参数RCE <?php// error_reporting(0);// highlight_file(__FILE__);class saday{public $reason"things dont work…

如何借助边缘智能网关打造智慧城市便民驿站

智慧城市驿站是一类提供多样化便利服务的新型智能公共设施&#xff0c;通过融合物联网技术、边缘智能技术、新能源技术等&#xff0c;为城市居民整合提供休闲、购物、卫生、广告、安全等公共服务&#xff0c;进一步提升日常生活体验。本篇就为大家介绍如何基于边缘智能网关&…

React 路由总结 react-router-dom6+react-router-dom5

开题 单页面应用和多页面应用 SPA&#xff1a;单页面应用程序&#xff0c;整个应用中只有一个页面(index.html) MPA&#xff1a;多页面应用程序&#xff0c;整个应用中有很多页面(*.html) react路由 现在的前端应用大多都是SPA单页面应用程序&#xff0c;也就是一个HTML页面的…

C++ 与 Lua 数据交互载体——栈

一、栈 Lua 和 C 之间的通讯主要组件是无处不在的虚拟栈&#xff0c;两者间的数据交换都是通过这个栈进行。 栈中可以保存 Lua 任意类型的值。 1、Lua 和 C 之间的数据交互存在的差异 Lua 是动态类型&#xff0c;C 是静态类型&#xff0c;两者不匹配Lua 是自动内存管理&…

【周末闲谈】VR新视界,“眼”见未来

个人主页&#xff1a;【&#x1f60a;个人主页】 系列专栏&#xff1a;【❤️周末闲谈】 系列目录 ✨第一周 二进制VS三进制 ✨第二周 文心一言&#xff0c;模仿还是超越&#xff1f; ✨第二周 畅想AR 文章目录 系列目录前言虚拟现实(VR)技术虚拟现实技术的原理虚拟现实技术发…

v-model表单数据双向绑定-表单提交示例

示例如下&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>v-model表单数据双向绑定<…

【Note】CNN与现代卷积神经网络part3(附PyTorch代码)

文章目录 2 现代卷积神经网络2.1 批量规范化2.1.1 训练深层网络2.1.2 批量规范化层2.1.2.1 全连接层2.1.2.2 卷积层2.1.2.3 预测过程中的批量规范化 2.1.3 从零实现2.1.4 使用批量规范化层的 LeNet2.1.5 简明实现2.1.6 controversies&#xff08;争议&#xff09;2.1.7 Summary…

YOLOv7改进:新机制,扩展DCNv3,基于DCNv2优化 | CVPR2023 InternImage

💡💡💡本文属于原创独家改进:DCNv3优势:1) 共享投射权重;2) 引入多组机制;3)采样点调制标量归一化; DCNv3 | 亲测在多个数据集实现暴力涨点; 收录: YOLOv7高阶自研专栏介绍: http://t.csdnimg.cn/tYI0c ✨✨✨前沿最新计算机顶会复现 🚀🚀🚀YOL…

Flink学习之旅:(一)Flink部署安装

1.本地搭建 1.1.下载Flink 进入Flink官网&#xff0c;点击Downloads 往下滑动就可以看到 Flink 的所有版本了&#xff0c;看自己需要什么版本点击下载即可。 1.2.上传解压 上传至服务器&#xff0c;进行解压 tar -zxvf flink-1.17.1-bin-scala_2.12.tgz -C ../module/ 1.3.启…

随机专享记录第一话 -- RustDesk的自我搭建和使用

1.介绍 RustDesk是继TeamView、向日葵等远程桌面软件后的新起之秀,最主要的是开源的可自己搭建中继服务。相比于公共服务器,连接一次等待的时间要多久,用过TeamView的都知道,而且还是免费的,不像某些远程搞各种个人证书,各种登录设备限制! 先看看软件图,这是待连接界…

14.11 Socket 基于时间加密通信

在之前的代码中我们并没有对套接字进行加密&#xff0c;在未加密状态下我们所有的通信内容都是明文传输的&#xff0c;这种方式在学习时可以使用但在真正的开发环境中必须要对数据包进行加密&#xff0c;此处笔者将演示一种基于时间的加密方法&#xff0c;该加密方法的优势是数…

微信小程序获取手机号(2023年10月 python版)[无需订阅]

技术栈&#xff1a; 1. 微信开发者工具中的调试基础库版本&#xff1a;3.1.2。 2. 后台&#xff1a;django。 步骤&#xff1a; 1. 首先在后台django项目的定时任务中增加一个下载access_token函数&#xff0c;并把得到的access_token保存在数据库中&#xff08;其实随便哪里…

SpringCloud学习笔记-gateway网关自定义全局过滤器

需求&#xff1a;定义全局过滤器&#xff0c;拦截请求&#xff0c;判断请求的参数是否满足下面条件&#xff1a; 参数中是否有authorization&#xff0c; authorization参数值是否为admin 如果同时满足则放行&#xff0c;否则拦截 实现&#xff1a; 在gateway中定义一个过…

C语言实现通讯录(超详细)

1.实现怎样一个通讯录 实现一个通讯录联系人信息&#xff1a;1.可以保存100个人的信息名字2.添加联系人年龄3.删除指定联系人性别4.查找指定联系人电话5.修改指定联系人住址6.排序联系人7.显示所有联系人信息 2.通讯录的实现 2.1创建两个源文件和一个头文件 首先我们创建con…

C++DAY47

头文件 #ifndef WIDGET_H #define WIDGET_H#include <QWidget> #include <QPushButton> #include <QLabel> #include <QLineEdit> #include <QDebug>QT_BEGIN_NAMESPACE namespace Ui { class Widget; } QT_END_NAMESPACEclass Widget : public…

数据结构----算法--五大基本算法(这里没有写分支限界法)和银行家算法

数据结构----算法–五大基本算法&#xff08;这里没有写分支限界法&#xff09;和银行家算法 一.贪心算法 1.什么是贪心算法 在有多个选择的时候不考虑长远的情况&#xff0c;只考虑眼前的这一步&#xff0c;在眼前这一步选择当前的最好的方案 二.分治法 1.分治的概念 分…

6-8 舞伴问题 分数 15

void DancePartner(DataType dancer[], int num) {LinkQueue maleQueue SetNullQueue_Link();LinkQueue femaleQueue SetNullQueue_Link();// 将男士和女士的信息分别加入对应的队列for (int i 0; i < num; i) {if (dancer[i].sex M){EnQueue_link(maleQueue, dancer[i]…

Vue跨域配置

版权声明 本文原创作者&#xff1a;谷哥的小弟作者博客地址&#xff1a;http://blog.csdn.net/lfdfhl 配置详情 请在项目的vue.config.js中通过proxy的配置&#xff0c;解决Vue跨域&#xff1b;代码如下&#xff1a; const { defineConfig } require(vue/cli-service) modu…

用JavaScript输出0-9的两种方法、以及setTimeout的三个参数的意义

方法一&#xff1a; for (let i 0; i < 10; i) {setTimeout(() > {console.log(i);}, 1000) } 方法二&#xff1a;利用 setTimeout 函数的第三个参数&#xff0c;会作为回调函数的第一个参数传入 for (var i 0; i < 10; i) {setTimeout(i > {console.log(i);…